Harap gunakan parameter kueri alih-alih menginterpolasi variabel ke dalam string SQL.
Lebih aman, lebih cepat, dan lebih mudah.
$temp = "6c ";
$weather_report = "It's currently $temp " ;
$sql = "UPDATE data_weather SET text= ? WHERE period='report'";
$stmt = $pdo->prepare($sql);
$stmt->execute(array($weather_report));
Perhatikan bahwa Anda tidak perlu mengutip string. Bahkan, Anda tidak boleh beri tanda kutip di sekitar ? pengganti. Anda dapat menggunakan apostrof di dalam rangkaian laporan cuaca dengan aman.
Anda dapat menggunakan placeholder parameter di mana pun Anda biasanya meletakkan nilai skalar tunggal dalam ekspresi SQL. Misalnya. menggantikan string yang dikutip, tanggal kutipan, atau literal numerik. Tapi tidak untuk nama tabel atau nama kolom, atau untuk daftar nilai, atau kata kunci SQL.
