"过滤器输入,转义输出"对PDO仍然有效

我在"过滤输入,转义输出"之前读过这个,但是当我在PHP上使用PDO时,真的需要过滤输入吗？我认为使用PDO我不需要过滤输入,因为准备好的语句负责sql注入.我认为"转义输出"仍然有效,但"过滤输入"仍然有效吗？

是的,它仍然有效.

过滤不是要防止安全漏洞,而是关于不用垃圾填充数据库.如果您期望约会,请确保它至少看起来像存储之前的日期.

转义输出是为了防止安全漏洞(即XSS或跨站点脚本).

所以,是的,两者都非常重要,并且与SQL注入完全无关(尽管相当多的开发人员仍然混淆过滤与SQL查询的转义,因此仍然可能受到漏洞的影响)......