原生PHP的防注入方法

最近做学校毕设，前后端一起处理，遇到了诸多问题，上网查阅与请教前辈，终于成功完成了简易订餐系统，现对开发该系统中遇到的问题进行一些总结，与大家一起分享！

1.防SQL注入
使用PDO方式(网上有很多种不同的方法，只记录我本次使用成功的方法)
原生PHP：

$link=new PDO("mysql:host=localhost;dbname=ordsystem","root","");
$link->query("set names utf8");

$result=$link->exec("INSERT INTO messages(userName,userEmail,feedback) VALUES ('$fname','$email','$info')");

防注入修改后：

$link=new PDO("mysql:host=localhost;dbname=ordsystem","root","");
$link->query("set names utf8");

$result=$link->prepare("INSERT INTO messages(userName,userEmail,feedback) VALUES (:fname,:email,:info)");
$result->execute(array(':fname' =>$fname , ':email' =>$email ,':info' =>$info ));