Gửi kết nối PDO dưới dạng tham số thực sự là cách lành mạnh duy nhất để làm điều này. Thực sự tốt khi biết rằng bạn có thể sử dụng global từ khóa, nhưng cách tối ưu để viết mã có thể duy trì là nêu rõ ràng các phụ thuộc và gõ-gợi ý
họ
function mailExists (PDO $pdo, $email) {
$sql = 'SELECT * FROM users WHERE email = :email';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(':email', $email, PDO::PARAM_STR);
$stmt->execute();
return $stmt->rowCount() > 0;
}
if (mailExists($pdo, $email) {}
Đọc thêm tại đây về PDO và các tuyên bố đã chuẩn bị. Lưu ý rằng tôi đã tận dụng các tham số được đặt tên như thế nào để đảm bảo rằng không thể tiêm sql từ mã này.
