Ja, richtig! =)
Generell: Bei einem Kontextwechsel (in diesem Fall PHP->
MySQL) sind Daten generell als ungefährlich zu maskieren.
Für
SQL-Abfragen ist dafür die Methode
real_escape_string() zuständig.
Diese Maskierung kann entfallen, wenn man z. B. explizit auf einen Integer castet.
Aber nutze von außen kommende Daten
nie (
N-I-E) ohne Überprüfung in kritischen[1] Codesegmenten.
LG,
Xong
[1] Mit
kritisch ist hier
alle gemeint. Dann machst du auch nichts falsch. ^^