Je hebt een klacht over de onderstaande posting:
Door Anoniem: Door Hugo: PDO is veel te omslachtig. En daarbij kan je met PDO geen tabel- of kolomnamen via prepare() laten invullen. Wanneer PDO dit wél zou kunnen, is het weer zo lek als een mandje... Je weet blijkbaar niet wat een prepared statement is, anders zou je niet eens poging doen om een variabele tabel- of kolomnaam op te geven. Met PostgreSQL en PHP kun je met pg_query_params(), het gebruik van stored procedures en quote_ident() (functie in PostgreSQL) SQL injection volledig tegengaan, ook met variabele tabel- en kolomnamen. In je PHP-code roep je uitsluitend stored procedures aan en binnen deze procedures schrijf je de SQL die moet worden uitgevoerd. Met quote_ident() en quote_literal() maak je iedere vorm van SQL-injection onschadelijk. Uiteraard ga je ook de juiste rechten toekennen aan de verschillende database rollen: Niemand mag direct de tabellen benaderen, alleen de eigenaar van de tabellen. En deze gebruik je NOOIT EN TE NIMMER als rol vanuit jouw (PHP-) applicatie. De applicatie ...
Beschrijf je klacht (Optioneel):