プレースホルダ

文字列を ? として”などの記号を用いて不正に侵入することを防ぐことができるのですが、 その ? にどうやって文字列を挿入するのかわかりませんでした。

    $sql = "SELECT * FROM user_info WHERE name= ? AND password= ?";

    $stmt = $dbh->prepare($sql);

    $data = $stmt->execute(array($username,$password));

    $data = $stmt->fetch(PDO::FETCH_ASSOC);

3行目のようにするといいみたいです。