PHP MySQL préparé des déclarations
Les instructions préparées pour empêcher l'injection MySQL est très utile.
Les instructions préparées et des paramètres liés
Les instructions préparées pour l'exécution d'une pluralité de la même instruction SQL et exécuter plus efficacement.
Travaux de déclarations préparées comme suit:
Prétraitement: Créer une déclaration modèle SQL envoyé à la base de données. La valeur du paramètre réservé "?" Mark. Par exemple:
INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)
analyse de la base de données, compiler, exécuter l'optimisation des requêtes SQL déclarations de modèle, et stocke le résultat ne sort pas.
Exécution: Enfin, les valeurs des paramètres passés à la liaison ( "?" Mark) l'application, base de données exécute les instructions. Les applications peuvent être exécutées plusieurs fois, si la valeur du paramètre ne sont pas les mêmes.
Par rapport à l'exécution directe des instructions SQL, déclaration préparée a deux avantages principaux:
Les instructions préparées réduit considérablement le temps d'analyse, seule une requête (bien que les instructions sont exécutées).
paramètres Bound pour réduire la bande passante du serveur, il vous suffit d'envoyer une requête de paramètre au lieu de l'instruction entière.
Les instructions préparées contre l'injection SQL est très utile, car après utiliser différents protocoles pour envoyer des valeurs de paramètres pour assurer la légitimité des données.
MySQLi préparé des déclarations
L'exemple suivant utilise le MySQLi dans une déclaration préparée, et lier les paramètres correspondants:
Exemples (MySQLi utilisant des requêtes préparées)
$ Servername = "localhost";
$ Nom d'utilisateur = "username";
$ Password = "mot de passe";
$ Dbname = "myDB";
// Création d'une connexion
$ Conn = new mysqli ($ servername, $ username, $ password, $ dbname);
// Test de connexion
if ($ connect_error conn->) {
die ( "Échec de la connexion:" $ conn-> connect_error.);
}
// Prétraitement et obligatoire
$ Stmt = $ conn-> prepare ( "INSERT INTO MyGuests (nom, prénom, email) VALUES (,,) ???");
$ Stmt-> bind_param ( "sss", $ prenom, $ lastname, $ email);
// Définir les paramètres et effectuer
$ Prenom = "John";
$ Nom = "Doe";
$ Email = "[email protected]";
$ Stmt-> execute ();
$ Prenom = "Mary";
$ Nom = "Moe";
$ Email = "[email protected]";
$ Stmt-> execute ();
$ Prenom = "Julie";
$ Nom = "Dooley";
$ Email = "[email protected]";
$ Stmt-> execute ();
echo "Le nouvel enregistrement est inséré avec succès";
$ Stmt-> close ();
$ Conn-> close ();
?>
Parsing chaque ligne de code dans les exemples suivants:
Dans des déclarations SQL, nous utilisons le point d'interrogation (?), Ici, nous pouvons remplacer le point d'interrogation entier, chaîne, double précision en virgule flottante, et des valeurs booléennes.
Ensuite, penchons-nous sur bind_param () fonction:
Les paramètres SQL fonction bind, et dire la valeur du paramètre de base de données. Types "sss" paramètre de traitement de la colonne de données pour les paramètres restants. s caractère indique la base de données que la chaîne de paramètres.
Il existe quatre types de paramètres:
- i - integer (entier)
- d - le double (le point flottante à double précision)
- s - chaîne (string)
- b - BLOB (Binary Large Object: objets binaires volumineux)
Chaque paramètre est requis pour spécifier le type.
Le paramètre de type de données indique la base de données, vous pouvez réduire le risque d'injection SQL.
Remarque: Si vous souhaitez insérer des données supplémentaires (entrée de l' utilisateur), la vérification des données est très important. |
PDO préparé déclarations
Les exemples suivants, nous utilisons des déclarations préparées en PDO et les paramètres de liaison:
Exemples (PDO en utilisant des instructions préparées)
$ Servername = "localhost";
$ Nom d'utilisateur = "username";
$ Password = "mot de passe";
$ Dbname = "myDBPDO";
try {
$ Conn = new PDO ( "mysql: host = $ servername; dbname = $ dbname", $ username, $ password);
// Définit l'exception du mode d'erreur PDO
$ Conn-> setAttribute (PDO :: ATTR_ERRMODE, PDO :: ERRMODE_EXCEPTION);
// Prétraitement et SQL paramètres de liaison
$ Stmt = $ conn-> prepare ( "INSERT INTO MyGuests (nom, prénom, email)
VALUES (: firstname ,: lastname ,: email) ");
$ Stmt-> bindParam ( ': prenom', $ prenom);
$ Stmt-> bindParam ( ': nom', $ lastname);
$ Stmt-> bindParam ( ': email', $ email);
// Insérer une ligne
$ Prenom = "John";
$ Nom = "Doe";
$ Email = "[email protected]";
$ Stmt-> execute ();
// Insérez une autre ligne
$ Prenom = "Mary";
$ Nom = "Moe";
$ Email = "[email protected]";
$ Stmt-> execute ();
// Insérez une autre ligne
$ Prenom = "Julie";
$ Nom = "Dooley";
$ Email = "[email protected]";
$ Stmt-> execute ();
echo "Le nouvel enregistrement est inséré avec succès";
}
catch (PDOException $ e)
{
.. Echo $ sql "<br>" $ e-> getMessage ();
}
$ Conn = null;
?>