Использовать подготовленный оператор .
Подготовленные заявления могут помочь увеличить
безопасность путем отделения логики SQL от
данные предоставляются. это
разделение логики и данных может помочь
предотвратить очень распространенный тип
уязвимость называется инъекцией SQL
атака. Обычно, когда вы имеете дело
со специальным запросом, вы должны быть
очень осторожен при обработке данных
что вы получили от пользователя. это
влечет за собой использование функций, которые экранируют
все необходимые неприятности
символы, такие как одинарные кавычки,
двойная кавычка и обратная косая черта
персонажи. Это не нужно, когда
иметь дело с подготовленными заявлениями.
разделение данных позволяет MySQL
автоматически учитывать эти
персонажи и они не должны быть
сбежал с помощью любой специальной функции.
Быстрый пример,
$db = new mysqli('localhost', 'username', 'password', 'db');
$stmt = $db->prepare("INSERT INTO mytable (text_column) VALUES (?)");
$stmt->bind_param("s", $mytext); // s = string, b = boolean, i = int, etc
$stmt->execute();
...