Fragen über SQL-Injektion

Question

Ich versuche sql Injektion zu verhindern. Mein Code ist wie

$stmt = $db_connection->prepare("INSERT INTO users (user_name,user_password_hash,user_email,user_firstname,user_lastname,user_registerip,user_lastip,user_created,user_rank,user_block) VALUES (:user_name, :user_password_hash, :user_email, :user_firstname, :user_lastname, :user_registerip, :user_lastip, :user_created, :user_rank, :user_block)"); 
$stmt->bindParam(':user_name', $txtName); 
$stmt->bindParam(':user_password_hash', $txtPassword); 
$stmt->bindParam(':user_email', $txtMail); 
$stmt->bindParam(':user_firstname', $txtFirst); 
$stmt->bindParam(':user_lastname', $txtLast); 
$stmt->bindParam(':user_registerip', $txtRIP); 
$stmt->bindParam(':user_lastip', $txtIP); 
$stmt->bindParam(':user_created', $txtCreated); 
$stmt->bindParam(':user_rank', $txtRank); 
$stmt->bindParam(':user_block', $txtBlock); 
$stmt->execute(); 

folgt Aber ich weiß nicht, was wie dies mit einer Linie zu tun:

$stmt->bindParam(':user_block', $txtBlock); 

Wo definiere ich diese Variablen wie $txtBlock und wie verbinde ich meine input Namen für den PHP-Code?

Answer 1

Sie können diese Variablen so definieren, wie Sie möchten. Wenn Sie ein Formular wie verwenden:

<form action="process.php" method="POST"> 
    <input name="example" type="text"> 
    <input type="submit"> 
</form> 

dann auf der Seite process.php, können Sie alle Variablen durch die $_POST global zugreifen. So, um die Daten aus dem Feld example zu erhalten, und weisen Sie es $txtBlock, können Sie tun:

$txtBlock = $_POST["example"]; 

In Bezug auf die SQL-Injection, haben Sie Ihre Abfrage und gebundene Variablen, um es bereits vorbereitet. Es besteht keine Notwendigkeit, sich weiter um die Bereinigung von Eingaben zu kümmern. Ich finde die following resource hilfreich, wenn Sie über PDO sprechen.