Примерът, който предоставихте, вмъква переменните на публикациите в базата данни, без първо да ги анализира за злонамерен потребителски вход. Използвайте привеждане на типове, функции за екраниране/филтриране, подготвени оператори и т.н., преди да ги използвате за взаимодействие с вашата БД.
Общо правило, което трябва да следвате, е никога да не се доверявате на въвеждането на потребителя. НИКОГА!
Вижте:Най-добрият начин да спрете SQL инжектирането в PHP
В отговор на вашия въпрос, ето как бихте се справили с целия формуляр, използвайки подготвени изрази за PDO.
$stmt = $db->prepare('INSERT INTO Persons (FirstName, LastName, Age) VALUES (:first_name, :last_name, :age)');
$stmt->execute(array(':first_name' => $first_name,':last_name' => $last_name, ':age' => $age));
Ако просто искате да вмъкнете една колона в записа, както поискахте, синтаксисът ще бъде:
$stmt = $db->prepare('INSERT INTO Persons (FirstName) VALUES (:first_name)');
$stmt->execute(':first_name', $first_name);
