Может ли это быть SQL-инъекцией?

Question

Мне интересно, действительно ли мой код защищен от SQL-инъекции. Мои сайты были введены раньше, и я никогда не понимал, как предотвратить это. Вот мой код для вставки комментария:

if ($_POST['comment']) { 
    $comment = strip_tags(nl2br(mysql_real_escape_string($_POST['comment']))); 
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); 
    // set the PDO error mode to exception 
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 
    $sql = "INSERT INTO posts (comment, authorid) 
    VALUES ('$comment', '$uid')"; 
    // use exec() because no results are returned 
    $conn->exec($sql); 
    echo '<div style="width: 98%; max-width: 98%; border: 1px solid white; background-color: green; color: white; vertical-align: text-top; text-align: center;">Your comment was added to the wall!</div><br>'; 
} 

Answer 1

Да, это, вероятно, может быть введено: Вы, кажется, не будет защищать вашу $uid переменным. Кроме того, укладка nl2br и strip_tagsпосле escaping - плохая идея - вы хотите оставить mysql_real_escape_string как последней операции, чтобы избежать каких-либо эффектов взаимодействия фильтра.

В более общем плане, вы должны использовать подготовленные операторы, а не строчную интерполяцию, чтобы строить SQL-запросы. Он проще, эффективнее, безопаснее и требует меньше кода. Вы не можете создать подготовленное заявление, используя $conn->prepare и выполнить его с произвольными параметрами:

$stmt = $conn->prepare("INSERT INTO posts (comment, authorid) VALUES (?, ?)"); 
$stmt->execute(array($comment, $uid)); 

не миновать требуется.