Он подготовленный для базы, а вдруг пароль имеет 1 цифру, или логин существует?
Нужно максимально валидиловать, а потом только записывать значения в базу.
AlertWeb, имеется в виду не нужно ли применять всякие костыли типо htmlspecialchars real_escape_string и т д к $login = $_POST['login'];
________ посл. ред. 27.10.2023 в 14:07; всего 1 раз(а); by Drages
Drages (27 окт 2023, в 14:05) AlertWeb, имеется в виду не нужно ли применять всякие костыли типо htmlspecialchars real_escape_string и т д к $login = $_POST['login'];
Зачем? Просто в валидации убери так, чтобы пробелы не фигачили, типо trim() , запомни, валидируй любые мелочи, это ощутимо будет
Нет не надо. Если будут проблемы, можешь обернуть в конструкцию try/catch
try{
$stmt=$pdo->prepare(....);
$stmt->execute([...]);
}
catch(PDOException $e){
echo 'error: '.$e->getMessage();
}
дополнительно фильтровать не надо, он сам делает обвертку апострофами место ? = ''
исходя с этого оно не подходит для конструкций: select * from tablename order by ? limit ?
что при ордере, что при лимите не сработает, потому что заменит на order by 'id' и с лимитом limit '0', '10'