|
Сообщение от konsa
|
|
Да нет, для меня важно и мнение
|
Вам больше нужно уделять внимание не моему мнению, а тому на чем советуют заострять внимание.
VALUES (? ... и bind_param
экранируют параметры запроса исключив инъекцию. Но ведь у вас ID пациентов не число, что уже само по себе затруднение, а ведь можно прислать и фиктивный ID, а вы будете писать в базу. Как минимум нужно удостовериться в том, что это ожидаемый ID -
https://www.php.net/manual/ru/book.filter.php , непосредственно подставлять в запрос $_POST['kasId'] конечно же нельзя.