Estou fazendo um sistema de notícias mas estou em duvido sobre a maneira de fazer a segurança e gostaria da opinião de vocês.
Estou fazendo o sistema em PHP PDO e usando algumas funções para filtrar comando sql
Função de filtragem:
preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$texto);
Código de inserção:
$not = 'INSERT INTO noticia (titulo,texto,criador, data) ';
$not.= 'VALUES (:titulo,:texto,:criador, :data)';
try{
$not = $conecta->prepare($not);
$not->bindValue(':titulo',$titulo,PDO::PARAM_STR);
$not->bindValue(':texto',$texto,PDO::PARAM_STR);
$not->bindValue(':criador',$matricula,PDO::PARAM_STR);
$not->bindValue(':data',$data,PDO::PARAM_STR);
$not->execute();
}
O que vocês acham melhor fazer para esse sistema?