Ví dụ bạn cung cấp sẽ chèn các vars bài đăng vào cơ sở dữ liệu mà không cần phân tích chúng trước để tìm đầu vào của người dùng xấu. Sử dụng chức năng truyền kiểu, thoát / lọc, câu lệnh đã chuẩn bị, v.v. trước khi sử dụng chúng để tương tác với DB của bạn.
Một nguyên tắc chung cần tuân theo là không bao giờ tin tưởng vào thông tin đầu vào của người dùng. BAO GIỜ!
Kiểm tra: Cách tốt nhất để dừng SQL Injection bằng PHP
Để trả lời câu hỏi của bạn, đây là cách bạn xử lý toàn bộ biểu mẫu bằng cách sử dụng các câu lệnh do PDO chuẩn bị.
$stmt = $db->prepare('INSERT INTO Persons (FirstName, LastName, Age) VALUES (:first_name, :last_name, :age)');
$stmt->execute(array(':first_name' => $first_name,':last_name' => $last_name, ':age' => $age));
Nếu bạn chỉ muốn chèn một cột vào bản ghi như bạn đã yêu cầu, thì cú pháp sẽ là:
$stmt = $db->prepare('INSERT INTO Persons (FirstName) VALUES (:first_name)');
$stmt->execute(':first_name', $first_name);
