PDOer et bibliotek til PHP som er sikrere enn de eldre mysql-kommandoene.
Her er et eksempel fra php.net:
Kode
/* Execute a prepared statement by binding PHP variables */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindValue(':calories', $calories, PDO::PARAM_INT);
$sth->bindValue(':colour', $colour, PDO::PARAM_STR);
$sth->execute();
I tillegg bør du se på "Input sanitization", dette ser ut som kommentarer, så da bør du fjerne script-tags, iframes, og annen html du eventuelt ikke vil godkjenne.