Gunakan pernyataan yang sudah disiapkan
Apa yang mereka lakukan pertama-tama mengirim versi kueri dengan placeholder untuk data. Kueri diverifikasi dan disiapkan. Jika berhasil, Anda dapat mengirim nilai yang akan dimasukkan database dengan aman ke dalam kueri yang disiapkan.
Ada tiga opsi:
Ekstensi MySQLi
$stmt = $mysli->prepare('INSERT INTO costumer (costumer_ID, first_name, last_name, birth_date, adress, city, state, postal_code, country, phone, email_client,username, password, Credit_Card, Credit_CardType)
VALUES
(?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?');
$stmt->bindParam('issssssssssssss', $_POST['costumer_ID'], ..., $_POST['Credit_CardType']);
$stmt->execute();
Ekstensi PDO
// use native prepared statements if supported
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$stmt = $pdo->prepare('INSERT INTO costumer (costumer_ID, first_name, last_name, birth_date, adress, city, state, postal_code, country, phone, email_client,username, password, Credit_Card, Credit_CardType)
VALUES
(?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?');
$stmt->bindParam(1, $_POST['costumer_ID'], PDO::PARAM_INT);
...
$stmt->bindParam(15, $_POST['Credit_CardType']);
$stmt->execute();
Kueri mentah melalui ekstensi apa pun
Saya tidak akan memberikan contoh karena dua metode lainnya jauh lebih unggul.
