Użyj parametrów zapytania zamiast interpolacji zmiennych w ciągi SQL.
Jest bezpieczniejszy, szybszy i łatwiejszy.
$temp = "6c ";
$weather_report = "It's currently $temp " ;
$sql = "UPDATE data_weather SET text= ? WHERE period='report'";
$stmt = $pdo->prepare($sql);
$stmt->execute(array($weather_report));
Zauważ, że nie musisz cytować ciągu. W rzeczywistości nie wolno umieść cudzysłowy wokół ? symbol zastępczy. Możesz bezpiecznie używać apostrofów w ciągu raportu pogodowego.
Możesz użyć symbolu zastępczego parametru w dowolnym miejscu, w którym normalnie umieścisz pojedynczą wartość skalarną w wyrażeniu SQL. Np. zamiast ciągu w cudzysłowie, daty w cudzysłowie lub literału numerycznego. Ale nie w przypadku nazw tabel lub kolumn, list wartości lub słów kluczowych SQL.
