Nerde Hata Var?

Ben mi göremiyorum hata nerde?


if ($_POST) {


$kadi=$_POST["kadi"];

$kmail=$_POST["kmail"];

$kpass=$_POST["kpass"];
if (empty($kadi) || empty($kmail) || empty($kpass)) {
echo "Lütfen Boş Alan Bırakmayınız!";
}else
{
$sorgu = $baglanti->prepare("INSERT INTO asd(kadi,kpass,kmail) VALUES(?,?,?)");
$sorgu->bind_param($kadi,$kpass,$kmail);
$sorgu->execute();
}




}else
{
echo "Bir Hata Oluştu Lütfen Tekrar Deneyin!";
}



if ($_POST) {

$kadi=$_POST["kadi"];

$kmail=$_POST["kmail"];

$kpass=$_POST["kpass"];
if (empty($kadi) || empty($kmail) || empty($kpass)) {
echo "Lütfen Boş Alan Bırakmayınız!";
}else
{
$sorgu = $baglanti->prepare("INSERT INTO asd (kadi,kpass,kmail) VALUES ('$kadi','$kpass','$kmail')");
}


}else
{
echo "Bir Hata Oluştu Lütfen Tekrar Deneyin!";
}






Böyle daha iyi değilmi sence ?

Guvenlik bakimindan bind param kullanmak daha iyi degil mi ?

Bind fln kullanmak yerine her post ve get i filtreleyiniz. Php filter_input u araştır istersen. birkaç filtreden daha geçirirsin veri türüne göre. güvenlik üst seviyede olur.

Ne istemci tarafındaki ne de server tarafındaki filtrelemeler her zaman yeterli olmayabiliyor, bunun için ek olarak db işlemlerinde parametre kullanılmalı. Daha onlarca başlık altında incelenebilecek bir konu olan güvenliği parametre filtreleyerek sağlamak eşşeği çalılıklara bağlamak gibi olur.

Konuya gelecek olursak, parametreleri tek tek yazman gerekiyor;


$sorgu = $baglanti->prepare("INSERT INTO asd(kadi,kpass,kmail) VALUES(?,?,?)");
$sorgu->bind_param($kadi);
$sorgu->bind_param($kpass);
$sorgu->bind_param($kmail);
$sorgu->execute();


ya da tek satırda çalışmak istiyorsan array($param1, $param2, ...); şeklinde de yapabilirsin.