Tuyên bố chuẩn bị PDO, được sử dụng chính xác?

Question

Tôi chỉ cần đảm bảo rằng tôi đã có các câu lệnh chuẩn bị PDO chính xác, mã sau có được bảo đảm bằng SQL Injection không?

$data['username'] = $username; 
$data['password'] = $password; 
$data['salt'] = $this->generate_salt(); 
$data['email'] = $email; 

$sth = $this->db->prepare("INSERT INTO `user` (username, password, salt, email, created) VALUES (:username, :password, :salt, :email, NOW())"); 
$sth->execute($data); 

Answer 1

Có, mã của bạn an toàn. Nó có thể được rút ngắn tuy nhiên:

$data = array($username, $password, $this->generate_salt(), $email); 

// If you don't want to do anything with the returned value: 
$this->db->prepare(" 
    INSERT INTO `user` (username, password, salt, email, created) 
    VALUES (?, ?, ?, ?, NOW()) 
")->execute($data); 

Answer 2

Bạn có thể bắt đầu với một mảng trống cho bạn $data như

// start with an fresh array for data 
$data = array(); 

// imagine your code here 

Mã của bạn có vẻ tốt cho đến nay.

EDIT: Tôi đã bỏ lỡ cuộc gọi NOW() của bạn. Ngoài ra, bạn cũng nên thêm biến đó bằng biến số liên kết, như

// bind date 
$data['created'] = date("Y-m-d H:i:s"); 

// updated prepare statement 
$sth = $this->db->prepare("INSERT INTO `user` (username, password, salt, email, created) VALUES (:username, :password, :salt, :email, :created)");