# Koenig (20.12.2014 / 12:46)
Andrei4ik93, фильтр лишним не будет, просто если через подготовленные запросы работать, сборный запрос не сработает
$data = array('name' => $_POST['name'] , 'user_id' => $user_id );
$us = $db->prepare("UPDATE `users` SET
`imname` = :name
WHERE `id` = :user_id
");
$us->execute($data);
Дыра же
Andrei4ik93, не сработает запрос, даже если туда хлам подсунуть, так как запрос как бы разделен на два, подготовленный запрос и аргументы запроса
Andrei4ik93, если совсем параноя , то
$data = array_map(array($db,
'quote'), $data);
Andrei4ik93, что это? экранировать нужно чтоб запрос спец символы пропустил
Andrei4ik93, ты вывод из базы должен фильтровать, а не сами данные в записе
functions::check() хвватит?
Andrei4ik93, ты попробуй без экрана скобок и переносов всяких записать
