Безопасность скрипта

[brownb]

Код:

<?php
if (isset($_POST['name']) && isset($_POST['text'])){

    // Переменные с формы
    $name = $_POST['name'];
    $text = $_POST['text'];
    
    // Параметры для подключения
    $db_host = "localhost"; 
    $db_user = "asdl"; // Логин БД
    $db_password = "asd"; // Пароль БД
    $db_base = 'asd'; // Имя БД
    $db_table = "users"; // Имя Таблицы БД
    
    // Подключение к базе данных
    $mysqli = new mysqli($db_host,$db_user,$db_password,$db_base);

    // Если есть ошибка соединения, выводим её и убиваем подключение
	if ($mysqli->connect_error) {
	    die('Ошибка : ('. $mysqli->connect_errno .') '. $mysqli->connect_error);
	}
    
    $result = $mysqli->query("INSERT INTO ".$db_table." (user,mail) VALUES ('$name','$text')");
    
    if ($result == true){
    	echo "Информация занесена в базу данных";
    }else{
    	echo "Информация не занесена в базу данных";
    }
}
?>

<html>
<head>
 <title>Запись в БД через форму на php</title>
</head>
<body>
 <form method="POST" action="">
  <input name="name" type="text" placeholder="Имя"/>
  <input name="text" type="text" placeholder="Текст"/>
  <input type="submit" value="Отправить"/>
 </form>
</body>
</html>

Подскажите по безопасности этот код уязвим?

[ADSoft]

а как-же... sql-injection
нельзя напрямую передавать в запрос данные от пользователя... никогда

либо подготовленные запросы, либо real_escape_string() обработать

[brownb]

Цитата:

Сообщение от ADSoft

а как-же... sql-injection
нельзя напрямую передавать в запрос данные от пользователя... никогда

либо подготовленные запросы, либо real_escape_string() обработать

А можете помочь я в этом полный ноль(((

[ADSoft]

что использовать написано .. откройте для себя удивительный мир интернета, где можно пользоваться поиском