PHPにてSQL INSERT文を実行するにあたりSQLインジェクション対策を行うために。
SQLクエリを作成。VALUES()の中の値はマーカー'?'とする・・・①
Prepared statementに作成したクエリを登録。・・・②
作成したマーカーにパラメータをバインドする。・・・③
<?php
$player = "AJ"
$statement = $mysqli->prepare("INSERT INTO team (player) VALUES (?)"); //①、②
$statement->bind_param("s", $player); //③
?>