SQL インジェクションを防ぐために準備済みステートメントを使用する必要があるプロジェクトに取り組んでいます。update、delete、およびinsertステートメントのクエリに使用される構文は見つかりましたが。しかし、selectクエリの場合、INサブステートメントでは機能しません。私は次のようにしようとしています:
$arr= 'tomwased,eshantsahu';
$this->_db->fetchAll("select username,password from user where username in (?)",array($arr)));
しかし、それは機能していません。他のコードから文字列 $arr を取得しています。