Estratto preparato PDO, usato correttamente?

Question

Ho solo bisogno di assicurarmi di avere le istruzioni di preparazione PDO corrette, il seguente codice sarà protetto da SQL Injection?

$data['username'] = $username; 
$data['password'] = $password; 
$data['salt'] = $this->generate_salt(); 
$data['email'] = $email; 

$sth = $this->db->prepare("INSERT INTO `user` (username, password, salt, email, created) VALUES (:username, :password, :salt, :email, NOW())"); 
$sth->execute($data); 

Answer 1

Sì, il tuo codice è sicuro. Tuttavia può essere abbreviato:

$data = array($username, $password, $this->generate_salt(), $email); 

// If you don't want to do anything with the returned value: 
$this->db->prepare(" 
    INSERT INTO `user` (username, password, salt, email, created) 
    VALUES (?, ?, ?, ?, NOW()) 
")->execute($data); 

Answer 2

Si potrebbe iniziare con un array vuoto per il vostro $data come

// start with an fresh array for data 
$data = array(); 

// imagine your code here 

il codice sia bene finora.

EDIT: Ho perso la chiamata NOW(). Imho si dovrebbe aggiungere anche con una variabile bind, come

// bind date 
$data['created'] = date("Y-m-d H:i:s"); 

// updated prepare statement 
$sth = $this->db->prepare("INSERT INTO `user` (username, password, salt, email, created) VALUES (:username, :password, :salt, :email, :created)");