Переписал скрипт на PDO .Маловато мануала на русском.Пишут ,что PDO более защищенный способ от инъекций.Надо ли использовать mysql_real_escape_string?
А, что надо то? Код (PHP): echo preg_replace('/select|union|order|where|char|from/iu','','seLEct бла, бла, FroM бла uNIoN');
смотря как вы используете PDO как по-вашему он отделит хорошие слова от плохих таких же слов? есть способы...
Если используете PDO:repare не нужно ничего экранировать. Если же используете PDO::query, для этого есть PDO::quote, для правильного экранирования. Смотря какая задача.
Например запрос Код (Text): $result = $db->query("INSERT INTO page (title,text,date_time) VALUES ('$title_post','$text_post',now())"); тогда лучше записывать примерно так и ? Код (Text): $result = $db->prepare("INSERT INTO page (title,text,date_time) VALUES ('$title_post','$text_post',now())"); $res = $result->execute();
чтобы управляющие слова не пролезали из пользовательского ввода в запрос, надо их прятать в кавычки. чтобы кавычки из пользовательского ввода не вылезали из твоих кавычек - надо их экранировать. это ясно?