Contoh yang Anda berikan memasukkan vars posting ke dalam database tanpa terlebih dahulu menganalisisnya untuk input pengguna yang jahat. Gunakan tipe casting, fungsi escaping/filter, pernyataan yang disiapkan, dll. sebelum menggunakannya untuk berinteraksi dengan DB Anda.
Aturan umum yang harus dilakukan adalah jangan pernah mempercayai input pengguna. PERNAH!
Lihat:Cara terbaik untuk menghentikan Injeksi SQL dalam PHP
Menanggapi pertanyaan Anda, berikut adalah cara Anda menangani seluruh formulir menggunakan pernyataan yang disiapkan PDO.
$stmt = $db->prepare('INSERT INTO Persons (FirstName, LastName, Age) VALUES (:first_name, :last_name, :age)');
$stmt->execute(array(':first_name' => $first_name,':last_name' => $last_name, ':age' => $age));
Jika Anda hanya ingin menyisipkan satu kolom dalam catatan seperti yang Anda minta, sintaksnya adalah:
$stmt = $db->prepare('INSERT INTO Persons (FirstName) VALUES (:first_name)');
$stmt->execute(':first_name', $first_name);
