Сообщение от laimas
|
Вам больше нужно уделять внимание не моему мнению, а тому на чем советуют заострять внимание.
VALUES (? ... и bind_param
экранируют параметры запроса исключив инъекцию. Но ведь у вас ID пациентов не число, что уже само по себе затруднение, а ведь можно прислать и фиктивный ID, а вы будете писать в базу. Как минимум нужно удостовериться в том, что это ожидаемый ID - https://www.php.net/manual/ru/book.filter.php , непосредственно подставлять в запрос $_POST['kasId'] конечно же нельзя.
|
А вот с этим мне предстоит серьезно разобраться, чем сейчас и займусь