Prepare Statement

Cara yang lebih aman untuk membuat SQL dengan input parameter dari user sebenarnya menggunakan function prepare().

Function prepare() akan menghasilkan object PDOStatement, dimana kita bisa melakukan binding parameter ke perintah SQL yang kita buat.

Ini lebih aman dibandingkan menggunakan function quote() secara manual, karena rawan lupa.

Namun jika menggunakan function prepare(), pembuatan string SQL nya agak sedikit berbeda. Ketika kita ingin menambahkan parameter, kita harus menggunakan :namaparameter .

Setelah menentukan dimana kira-kira parameter akan digunakan di kode SQL.

Kita wajib melakukan binding parameter dengan input dari user.

Secara otomatis, semua input dari user akan di quote() oleh prepare statement, jadi kita tidak perlu melakukannya lagi secara manual.

Hal ini membuat penggunaan prepare statement lebih aman dibandingkan manual melakukan quote() .

Selain menggunakan kata kunci :namaparameter .

Untuk melakukan binding parameter, kita juga bisa menggunakan index (angka) .

Kita cukup mengganti :namaparameter dengan ? (tanda tanya) .

Lalu gunakan nomor index, saat melakukan bindingParam(index, value) .