Podany przez Ciebie przykład wstawia post vars do bazy danych bez uprzedniej analizy ich pod kątem złych danych wejściowych użytkownika. Użyj rzutowania typów, funkcji ucieczki/filtrowania, przygotowanych instrukcji itp. przed użyciem ich do interakcji z bazą danych.
Ogólną zasadą, którą należy się kierować, jest nigdy nie ufać wprowadzaniu użytkownika. KIEDYKOLWIEK!
Sprawdź:Najlepszy sposób na zatrzymanie wstrzykiwania SQL w PHP
W odpowiedzi na Twoje pytanie, oto jak obsłużyć cały formularz za pomocą przygotowanych oświadczeń PDO.
$stmt = $db->prepare('INSERT INTO Persons (FirstName, LastName, Age) VALUES (:first_name, :last_name, :age)');
$stmt->execute(array(':first_name' => $first_name,':last_name' => $last_name, ':age' => $age));
Jeśli chcesz wstawić tylko jedną kolumnę do rekordu, jak prosiłeś, składnia będzie wyglądać tak:
$stmt = $db->prepare('INSERT INTO Persons (FirstName) VALUES (:first_name)');
$stmt->execute(':first_name', $first_name);
