Этот код уже уже подтверждает инъекцию SQL или я должен использовать подготовленные заявления? [дублировать] ⇐ Php

[Anonymous]

Меня попросили сделать этот код SQL -инъекционный доказательство: < /p>

< /code>
Это часть задачи по подбору персонала, которую я получил, и я царапаю голову, потому что от моего понимания инъекций SQL этот код уже является доказательством инъекций, поскольку мы не передаем ни один пользовательский ввод в качестве переменной в базу данных. Я прав или что -то упускаю? Хорошей практикой все еще использовать подготовленные заявления в таком случае? Если бы вы были у меня на месте, вы бы просто использовали подготовленное заявление и назвали бы его днем ​​или указали бы его на репетитор и показали использование подготовленных заявлений в более подходящем примере?

Подробнее здесь: https://stackoverflow.com/questions/795 ... statements