سلام
من تازه PDO رو شروع کردم. این کد امنه ؟
$dbh = new PDO("mysql:host=$hostname; dbname=bookstore; charset=UTF8", $username, $password);
echo 'Connected to database';
$sql = "INSERT INTO users (username, email, password, age) VALUES (:user, :eml, :pass, :ag)";
$stmt = $dbh->prepare($sql);
$stmt->execute(array(":user"=>$_POST['username'],":eml"=>$_POST['email'],":pass"=>$_POST['password'],":ag"=>$_POST['age']));
$dbh = null;
و میخواستم بدونم آیا متغیر هایی که در فرم وارد میشوند مانند password در فرم لاگین باید قبل از شرکت در دستور SELECT چه عمیاتی روشون انجام بگیره تا امن بشن. در کد بالا قبل از اینکه متغیر ها به دستور INSERT اضافه بشوند دستور prepare استفاده شده. آیا این از نظر امنیتی درسته ؟
ممنونم