Bare gjør ting enkelt for deg selv med en gang og bruk parameteriserte spørringer med en gang.
I PHP tror jeg det i hovedsak er via prepared statements. Og på den måten er du beskyttet mot SQL-injection.
Det å bruke styringer på den måten der er utrolig skummelt. Og selv med tipset til tysteren over ville jeg ikke følt meg trygg på at den funksjonen klarer å fange alle mulige injection-angrep.
Mer om prepared statements, med eksempel kan du se her:
https://www.php.net/manual/en/mysqli...statements.php
Altså blir det i ditt tilfelle noe tilsvarende dette: (garanterer ikke at the funker 100%, da jeg ikke har PHP installert så får ikke testet koden)
Kode
$stmt = $conn->prepare("INSERT INTO `snapMessage` (`id`, `siteid`, `snapDate`, `userid`, `snap`) VALUES ('', :siteid, :snapdate, :userid, :snap)");
$stmt->bindParam(":siteid", activeSiteId)
$stmt->bindParam(":snapdate", dateTime)
$stmt->bindParam(":userid", userId)
$stmt->bindParam(":snap", postComment)
Sist endret av etse; 2. september 2021 kl. 11:46.
Grunn: Automatisk sammenslåing med etterfølgende innlegg.