[PDO] Filtrowanie danych do połączenia z bazą Opcje

[Inscure]

Witam,

Kod

$dsn = "mysql:host=$db_host;dbname=$db_name;port=$db_port;charset=$charset";
$pdo = new Data($dsn, $db_user, $db_pass);

Zmienne pochodzą z formularza i zakładamy że nie są filtrowane. Czy stanowi to zagrożenie dla bazy danych?
Stripowanie hasła odpada bo może mieć znaki specjalne. Natomiast zmuszanie do podawania w CMS-ie hasła alfanumerycznego to też niezbyt dobry pomysł.

Ten post edytował Inscure 5.02.2013, 13:56:15

[Inscure]

Piotrbaz - nie o tym mowa. Doczytaj w ogóle do czego jest to co podałeś (IMG:style_emoticons/default/smile.gif)

Charset jest narzucony z góry, czyli nie ma problemu. Zostaje reszta. Co do przewidywania wartości to chciałbym tego uniknąć bo jest na prawdę mnóstwo hostingów i niektóre mają dziwactwa których nie sposób znać. Wydaje mi się, że tutaj nie ma możliwości połączenia się z bazą nie znając prawidłowych danych wykorzystując niefiltrowanie zmiennych. Dlatego chyba pójdę za Twoją radą i zostawię je bez stripowania. Ciekawy jednak jestem, jak zostało to zrobione w Drupalu czy jakim FW z instalatorem?