Wpis z mikrobloga

@ZjemCiNoge: http://php.net/manual/pl/language.types.string.php#language.types.string.parsing

@ZjemCiNoge: powinieneś zostawić tak trywialne sprawy ORMowi.

A swoją drogą, to zwykłe generowanie stringa, poczytaj jak się w tym języku tworzy stringi.

@ZjemCiNoge: $sql = "INSERT INTO x667 (FirstName, LastName, Email) VALUES ($a, $b, $c)";

@ZjemCiNoge: To poczytaj, zeby na przyszlosc wiedziec czemu tak jest
http://php.net/manual/en/language.types.string.php

@ZjemCiNoge: Sprawdź co się stanie jeżeli zmienne $c będzie miała wartość:
$c = "'); DROP table x667; SELECT ('1"

Jeśli przekazujesz zmienne do zapytania w taki sposób pamiętaj, aby je filtrować. W twoim przykładnie, jeśli Twoje zmienne $a, $b, $c są niefiltrowane, np. w taki sposób jak widać poniżej czynią Twój kod podatny na atak SQL Injection. Innymi słowy, jeśli którakolwiek z tych zmiennych może (albo będzie mogła w przyszłości) pochodzić od użytkownika (np. będzie brana z parametrów GET lub POST) atakujący dostanie pełny dostęp do Twojej bazy danych:

Powinienneś filtrowaćPokaż całość

@ZjemCiNoge: Prepared statements