Выборка информации из БД Новый


В коде есть запрос к БД MySQl
    $sql = "SELECT `name`, `city` FROM `modx_firm` WHERE 
    inn = '" . mysql_escape_string($inn) . "' AND schet = '" . mysql_escape_string($kpp) . "'";
$q = $modx->prepare($sql);
$q->execute();
$company = $q->fetchAll(PDO::FETCH_ASSOC);
После перехода на php7 на функцию mysql_escape_string() выдаёт ошибку. Вопрос нужно ли использовать эту функцию вообще или для экранирования и защиты запроса от инъекций достаточно $modx->prepare($sql), переменные $inn и $kpp вводит посетитель сайта?
25 августа 2016, 18:13    Павел   
0    254 0

Комментарии (0)

    Вы должны авторизоваться, чтобы оставлять комментарии.