Достаточно ли фильтрации для Mysqli?

Question

[sarkisssik]

Здравствуйте. Достаточно ли использовать данный вариант фильтрации (от инъекции) перед записью в базу данных (менять на мнемонический код )?

str_replace( array('"','\\',"'"), array(""","\","'"), $textCode)

Просто весь движок в некоторых местах построен на такой фильтрации (фильтр товаров).
Если опасен, то конкретно чем ?

Comments

[OVK2015]

А где тут фильтрация? Строка от кавычек и слышей избавляется и все

[sarkisssik]

OVK2015: ну да, я об этом и говорю .Достаточно ли этого ?

[OVK2015]

sarkisssik: Для поменять кавычки/слеши вполне хватит :)

Просто весь движок в некоторых местах построен на такой фильтрации (фильтр товаров).

Что вы под фильтрацией подразумеваете то?

[sarkisssik]

OVK2015: есть выборка товаров через GET параметры . Значения GET проходят через str_replace и идут в базу селектом.
Хочется знать, чем опасна эта замена символов, если опасна.

[OVK2015]

sarkisssik: Если и опасна, то разве что потерей нескольких мс серверного времени. Пока он строку перелопатит и замены сделает. Двойной потерей,- потом ее назад преобразовывать надо. И все.

Answer 1

[Дмитрий Евграфович]

почитайте о prepared statements на хабре, а об этом движке забудьте, как о страшном сне.

Answer 2

[sim3x]

Нет

Движек в мусорку
Или покупай WAF

Comments

[sarkisssik]

ну хорошо . Вы можете аргументировать почему ?

[sim3x]

sarkisssik:
Код нарушает базовые правила работы со входящими данными