SQL inejction önlemek?

Merhaba. Bir sorgum var, bu sorgum sql injection'a "query" methodu ile yatkın sanırım.
Bu işlemi prepare ile yapmak istesem nasıl yapabilirim?

if (isset($_POST['search'])) {
 
    $name = htmlspecialchars(($_POST['search']));
 
    $query = $db->query("SELECT * FROM posts WHERE title LIKE '%$name%'", PDO::FETCH_ASSOC)->fetchAll();
}

if (isset($_POST['search'])) {
  
    $name = htmlspecialchars(($_POST['search']));

    $name = "%".$name."%";
  
    $query = $db->prepare("SELECT * FROM posts WHERE title LIKE :name");
    $query->bindParam(":name", $name, PDO::PARAM_STR);
    $query->fetchAll(PDO::FETCH_ASSOC);
    $query->execute();
}

Merhabalar, burada güzel bir kaynak var inceleyebilirsiniz .

Merhaba. burada yaptığın işlemin mantığını anlatabilir misin?

Hocam prepare sorgusu yapıp :name bind'ını ekledim ardından bindParam ile :name bind'a $name verisini yerleştirdim ve STR yani string ifadesi ile filtreledim

Teşekkür ederim, sağolun.

Evet, gönderilen verileri "query" methodu ile direk sorguya dahil etmek SQL injection'a yatkın hale getirir. Bu nedenle, "prepare" methodunu kullanarak sorguyu çalıştırmak daha güvenlidir. Örnek olarak, aşağıdaki gibi düzenleyebilirsiniz:

if (isset($_POST['search'])) {
$name = htmlspecialchars(($_POST['search']));
$query = $db->prepare("SELECT * FROM posts WHERE title LIKE :name");
$query->execute(array(':name' => "%$name%"));
$result = $query->fetchAll(PDO::FETCH_ASSOC);
}

Bu şekilde, gönderilen veriler "prepare" metodu ile hazırlanmış bir sorguya dahil edilir ve SQL injection'a karşı daha korunaklı hale gelir.