Hallo zusammen,
ich habe meine PHP Scripte von den "mysql" Funktionen auf PDO umgestellt.
Bisher habe ich noch keine "Prepared Statements" verwendet, möchte dies aber überall machen wo Benutzereingaben möglich sind.
Frage:
Angenommen es gibt ein Auswahlmenü das Telephonnummern enthält:
<select name="sel_phoneno">
<option value="1" >1234</option>
<option value="2" >77664</option>
<option value="3" >58767</option>
<option value="4" >13345</option>
</select>

Ein Anwender wählt eine Nummer daraus aus. Diese wird dann in der Datenbank gespeichert bzw. erneuert.

$phonenumber = $_POST['sel_phoneno'];
$sql = "UPDATE phonedata SET PhoneValue = '$phonenumber' WHERE PhoneID = '{$phoneid}' AND PhoneLabel = 'Phone' ";
$DBO->exec($sql);

Sollte man auch hier in solchen Fällen zwingend immer die variablen Werte mit "quote" oder Prepared Statements absichern?

vielen Dank und viele Grüße
hawk