Użyj przygotowanych oświadczeń
To, co robią, to najpierw wysyłanie wersji zapytania z symbolami zastępczymi na dane. Zapytanie jest weryfikowane i przygotowywane. Jeśli się powiedzie, możesz wysłać wartości, które baza danych bezpiecznie wstawi do przygotowanego zapytania.
Istnieją trzy opcje:
Rozszerzenie MySQLi
$stmt = $mysli->prepare('INSERT INTO costumer (costumer_ID, first_name, last_name, birth_date, adress, city, state, postal_code, country, phone, email_client,username, password, Credit_Card, Credit_CardType)
VALUES
(?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?');
$stmt->bindParam('issssssssssssss', $_POST['costumer_ID'], ..., $_POST['Credit_CardType']);
$stmt->execute();
Rozszerzenie PDO
// use native prepared statements if supported
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$stmt = $pdo->prepare('INSERT INTO costumer (costumer_ID, first_name, last_name, birth_date, adress, city, state, postal_code, country, phone, email_client,username, password, Credit_Card, Credit_CardType)
VALUES
(?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?');
$stmt->bindParam(1, $_POST['costumer_ID'], PDO::PARAM_INT);
...
$stmt->bindParam(15, $_POST['Credit_CardType']);
$stmt->execute();
Surowe zapytania za pośrednictwem dowolnego rozszerzenia
Nie będę podawać przykładu, ponieważ pozostałe dwie metody są znacznie lepsze.
