SQLインジェクションを防ぐために安全なデータを取得する方法

Question

私のデータベースと私は以下のようなデータを取得しています。しかし、私はSQLインジェクションによってSQLインジェクションを防止するために、フィールドを表示したい場所にエコーアウトします。 安全な方法を教えてください。私を助けてください。助けてください。 と私はあなたがユーザーの入力を使用している場合にのみ実行することができ、すべてのdata.Pleaseは私の

<?php 
$getdata ="SELECT * FROM tblname ODER BY "; 
$result = mysql_query($getdata); 
$row = mysql_fetch_array($result); 
$bookName = $row['bookName']; 
$timestamp = $row['timestamp']; 
$Country = $row['Country']; 
$Category = $row['Category']; 
$Price = $row['Price']; 
$Photo1name = $row['Photo1name']; 
    ?> 

Answer 1

SQL injectionを助ける取得するために機能しながら、使用したいです。
データベースから読み込んだときに安全です。コードではmysql_real_escape_stringを使用する必要がありますが、私はPDOを使用することをお勧めします。また、自動エスケープ値の準備文も用意されています。 htmlentitiesまたはstrip_tags機能を使用して、出力トライをサニタイズする

$sth = $dbh->prepare('SELECT * FROM tblname WHERE name = :name ORDER BY'); 
$sth->execute([':name' => $_POST['name']]); 
$result = $sth->fetchAll(); 

。

$pdo = PDO('mysql:host=localhost;dbname=test', 'root', 'iAmD4B3st!'); 
$sql = $pdo->prepare("INSERT INTO my_table (name, surname) VALUES (:name, :surname)"); 
$sql->execute([ 
    ':name' => isset($_POST['name']) ? $_POST['name'] : '', 
    ':surname' => isset($_POST['surname']) ? $_POST['surname'] : '', 
]);