Как перейти с mysql_ * на mysqli_ *?

В настоящее время я использую устаревший код для получения данных от пользователей, а именно:

/* retrieve */
$lastName = $_POST['lastName']; 
$firstName = $_POST['firstName']; 
$examLevel=$_POST['level'];

/* connect */
$dbc=mysql_connect("localhost", "user", "passw") or die('Error connecting to MySQL server');
mysql_select_db("db") or die('Error selecting database.');

/* sanitize */
$lastName=mysql_real_escape_string($lastName);
$firstName=mysql_real_escape_string($firstName); 
$examLevel=mysql_real_escape_string($examLevel);


/* insert */
$query_personal = "INSERT INTO personal (LastName, FirstName) VALUES  ('$lastName', '$firstName')";

$query_exam = "INSERT INTO exam (Level, Centre, BackupCentre, etc.) VALUES ('$examLevel', '$centre', '$backup', 'etc')";

Это работает, но я постоянно сталкиваюсь с предупреждениями о безопасности и отсутствии поддержки. Там небольшой переписатьсоединять с MySQL вместо MySQL, но как насчетmysqli_real_escape_string? Я видел это в примерах, но я также видел совет использовать вместо этого подготовленные операторы, которые не используют mysqli_real_escape_string.

И как бы я использовал подготовленные заявления, чтобы ВСТАВИТЬ мои данные? Я немного в море с этим немного до сих пор. Например, является ли привязка параметров только для INSERT, а привязка результатов - только для SELECT?

Ответы на вопрос(2)

Ваш ответ на вопрос