DBにインジェクション攻撃防御を挿入する

Question

私は攻撃の保護を注入してDBに挿入しようとしています。私はw3schoolsのいくつかの例を見つけましたが、それは私にとっては役に立ちません。接続は正しいですし、動作します。私はSQLとプログラミングの新機能として、そのインサートの何が問題なのか分かりません。どうか誰でも助けてくれますか？どうもありがとう。挿入するための

マイPHP：データベースAPIの混合している

<?php 

$servername = "localhost"; 
$username = "root"; 
$password = ""; 
$dbname = "dbname"; 

// Create connection 
$conn = new mysqli($servername, $username, $password, $dbname); 
if ($conn->connect_error) { 
    die("Connection failed: " . $conn->connect_error); 
} 
echo "<p>Connected successfully</p>"; 

$From = $_GET['From']; 
$To = $_GET['To']; 
$Type = $_GET['Type']; 
$text = $_GET['text']; 


$stmt = $conn->prepare("INSERT INTO orders (from_lang, to_lang, tex) 
VALUES (:fr, :to, :tex)"); 

$stmt->bindParam(':fr', $From); 
$stmt->bindParam(':to', $To); 
$stmt->bindParam(':tex', $text); 
$stmt->execute(); 


?> 

Answer 1

。私は?に各パラメータのプレースホルダを変更して、代わりに各パラメータの個別の呼び出し（のbind_param()関数に変更されている

<?php 

$servername = "localhost"; 
$username = "root"; 
$password = ""; 
$dbname = "dbname"; 

// Create connection 
$conn = new mysqli($servername, $username, $password, $dbname); 
if ($conn->connect_error) { 
    die("Connection failed: " . $conn->connect_error); 
} 
echo "<p>Connected successfully</p>"; 

$From = $_GET['From']; 
$To = $_GET['To']; 
$Type = $_GET['Type']; 
$text = $_GET['text']; 


$stmt = $conn->prepare("INSERT INTO orders (from_lang, to_lang, tex) 
VALUES (?,?,?)"); 
$stmt->bind_param('sss', $From,$To,$text); 
$stmt->execute(); 


?> 

注意：あなたが使用したい場合はMySQLiをあなたのコードは次のようになります。）私はtype of variable to be insertedを指定して各プレースホルダーの変数を指定する単一の関数呼び出しを使用しました。