Cara terbaik untuk menghindari suntikan adalah dengan menggunakan Pernyataan yang Disiapkan
.
Untuk Pernyataan yang sudah disiapkan, saya lebih suka menggunakan PDO untuk menangani semua hal DB saya. berikut adalah beberapa contoh kode PDO yang saya tulis untuk mengambil beberapa informasi login dasar:
$sql=new PDO("mysql:host=127.0.0.1;dbname=name","user","password");
$user=$_POST[user];
$query="select Salt,Passwd from User
where Name=:user";
$stmt=$sql->prepare($query);
$stmt->bindParam(':user',$user);
$stmt->execute();
$dr=$stmt->fetch();
$sql=null;
$password=$_POST[pass];
$salt=$dr['Salt'];
... dll
Baca ini halaman untuk informasi lebih lanjut tentang PDO. Jika Anda ingin tahu apa yang dilakukan setiap baris kode di sini, baca ini jawaban yang saya berikan untuk posting lain.
