Merhaba arkadaşlar. Aşağıda bir kod var. Bazı sitelerde PDO çok güvenlidir. Bu şekilde kullanabilirsiniz yazmışlar fakat benim aklıma takıldı. En azından quote dan geçirmek gerekmez mi?
$ilet=$db->prepare('INSERT into contact_form name = :name, mail = :mail, tel = :mobile, mesaj = :message');
$ilet->execute(array("name" => "$_POST[name]",
"message" => "$_POST[message]",
"mail" => "$_POST[mail]",
"mobile" => "$_POST[mobile]");
Alıntı
Prepare edilmiş sorguya gelen parametreler tekrar sorgulanmaz. Bu yüzden sql injection mümkün değildir.
Siz zaten sorguyu prepare etmişsiniz yani sorgunuz hazırlanmış, parametre olarak göndereceğiniz veriler tekrar sorgulanmayacaktır. Konuyu (prepare) çıktı için bekleniyor olarak algılayabilirsiniz. Sorgunuza bindParam, bindValue veya execute ile parametre gönderiyorsunuz. Hangi yöntem ile gönderdiğinizin sizin açınızdan şuanda pek bir önemi bulunmuyor. Konuyu anlayabilmeniz için hem mySQL hem de PDO ile örnek göstermiştim, incelemelisiniz.