SQLインジェクションについての質問

Question

SQLインジェクションを防止しようとしています。

$stmt = $db_connection->prepare("INSERT INTO users (user_name,user_password_hash,user_email,user_firstname,user_lastname,user_registerip,user_lastip,user_created,user_rank,user_block) VALUES (:user_name, :user_password_hash, :user_email, :user_firstname, :user_lastname, :user_registerip, :user_lastip, :user_created, :user_rank, :user_block)"); 
$stmt->bindParam(':user_name', $txtName); 
$stmt->bindParam(':user_password_hash', $txtPassword); 
$stmt->bindParam(':user_email', $txtMail); 
$stmt->bindParam(':user_firstname', $txtFirst); 
$stmt->bindParam(':user_lastname', $txtLast); 
$stmt->bindParam(':user_registerip', $txtRIP); 
$stmt->bindParam(':user_lastip', $txtIP); 
$stmt->bindParam(':user_created', $txtCreated); 
$stmt->bindParam(':user_rank', $txtRank); 
$stmt->bindParam(':user_block', $txtBlock); 
$stmt->execute(); 

を次のように私のコードがあるしかし、私はこのような行で何をするか分からない：

私は、このような $txtBlockとして、これらの変数を定義しないとどのように私は私の inputを接続するのです

$stmt->bindParam(':user_block', $txtBlock); 

PHPコードの名前？

Answer 1

これらの変数を好きなように定義することができます。あなたのようなフォームを使用している場合は、次のページprocess.phpに続いて

​​

、あなたはグローバル$_POSTを通じて変数のすべてにアクセスすることができます。だから、フィールドexampleからデータを取得し、$txtBlockに割り当て、あなたが行うことができます：

$txtBlock = $_POST["example"]; 

SQLインジェクションの面では、あなたはすでにそれにあなたのクエリとバインドされた変数を用意しました。入力をさらに念入りにすることを心配する必要はありません。私はfollowing resourceがPDOについて話すときに役に立ちます。