Sikkerhed med insert i database

Hvis PHP 5 saa prepared statements (mysqli).

Hvad er forskellen på mysql og mysqli?

Bl.a. muligheden for prepared statement.

http://www.php.net/manual/en/ref.mysql.php
http://www.php.net/manual/en/ref.mysqli.php

Okay det er et nyt område for mig, men den skriver disse fejl:


Warning: mysqli_stmt_bind_param() expects parameter 1 to be mysqli_stmt, boolean given in C:\wamp\www\test\test.php on line 12

Warning: mysqli_stmt_execute() expects parameter 1 to be mysqli_stmt, boolean given in C:\wamp\www\test\test.php on line 15

Warning: mysqli_stmt_affected_rows() expects parameter 1 to be mysqli_stmt, boolean given in C:\wamp\www\test\test.php on line 17
0 Row inserted.
Warning: mysqli_stmt_close() expects parameter 1 to be mysqli_stmt, boolean given in C:\wamp\www\test\test.php on line 20


Kode fra php.net:

<?php
//include_once('connect.php');
$link = mysqli_connect("localhost", "root", "", "shop");

/* check connection */
if (!$link) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

$stmt = mysqli_prepare($link, "INSERT INTO navn VALUES (fornavn)");
mysqli_stmt_bind_param($stmt, 'sssd');

/* execute prepared statement */
mysqli_stmt_execute($stmt);

printf("%d Row inserted.\n", mysqli_stmt_affected_rows($stmt));

/* close statement and connection */
mysqli_stmt_close($stmt);

?>

$stmt = mysqli_prepare($link, "INSERT INTO navn VALUES (?)");

hvorfor skal der være et (?) ? Skal den ikke vide hvor den skal gemmes?

Hvis der er mere end 1 kolonne i tabellen er syntaxen:

$stmt = mysqli_prepare($link, "INSERT INTO tabelnavn(feltnavn) VALUES (?)");

... eller mere generelt:

$stmt = mysqli_prepare($link, "INSERT INTO tabelnavn(feltnavn1, feltnavn2, feltnavn3) VALUES (?, ?, ?)");