przychodzę dziś do was z pytaniem które rozwiązanie na wykonywanie zapytań w PHP stosować? Które z nich jest bezpieczniejsze pod kątem SQL injection?
Sposób z funkcją query?
$wynik = $polaczenie->query("INSERT INTO tabela VALUES('$val','$val2','$val3'");
Czy polecenia przygotowane?
$query = "INSERT INTO tabela VALUES(?,?,?)";
$polecenie->$polaczenie->prepare($query);
$polecenie->bind_param("iii",$val1,$val2,$val3);
$polecenie->execute();