>Я ее дописывал, а не только проверял. >Что может - использует встроенные параметризации, что нет - раскрывает и сама >экранирует. >В случае, если параметры не поддерживаются, то конечно идет обычной экранируемой строкой. > >Почему-то в PDO нету подстановки в качестве параметров массивов, идентификаторов, и прочих >полезных вещей. А вам не кажется, что использование "черного ящика", который то экранирует то параметоризирует, распускает разработчика, который начинает излишне доверять сторонней библиотеки, но по сути курит на бочке с порохом ? Я бы не стал доверять внешнему универсальному коду экранирования, например, дыры с недоэкранированием при передачи битого unicode классический пример, что и на старуху бывает проруха.
|