Wie verwende ich PDO-vorbereitete Anweisungen ordnungsgemäß für INSERT INTO-Abfragen in MySQL?

PDO mit INSERT INTO über vorbereitete Anweisungen

Das Ausführen von MySQL-Abfragen über vorbereitete Anweisungen kann bei der Arbeit mit PDO etwas knifflig sein. Lassen Sie uns in das dargestellte Problem eintauchen und die Lösung finden:

Im bereitgestellten Code wird die INSERT INTO-Anweisung mit der Methode Prepare() erstellt, die die Anweisung vorbereitet, aber nicht ausführt. Um die Abfrage tatsächlich auszuführen und die Daten einzufügen, muss die Methode „execute()“ aufgerufen werden.

Außerdem ist es bei der Verwendung vorbereiteter Anweisungen mit PDO wichtig, Platzhalter (z. B. :name, :lastname) im zu verwenden SQL-Abfrage statt direktes Einbetten der Werte. Mit Platzhaltern können Sie die Werte später an die vorbereitete Anweisung binden. Dieser Ansatz erhöht die Sicherheit, indem er SQL-Injection-Schwachstellen verhindert.

Der korrigierte Code sollte wie folgt aussehen:

$dbhost = "localhost";
$dbname = "pdo";
$dbusername = "root";
$dbpassword = "845625";

$link = new PDO("mysql:host=$dbhost;dbname=$dbname", "$dbusername", "$dbpassword");
$link->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // Set error mode to exception

$statement = $link->prepare("INSERT INTO testtable(name, lastname, age) VALUES(:name, :lastname, :age)");

$statement->bindParam(':name', 'Bob');
$statement->bindParam(':lastname', 'Desaunois');
$statement->bindParam(':age', 18);

$statement->execute();

Durch die Verwendung von Platzhaltern und die Bindung der Werte mit bindParam() wird die Abfrage ordnungsgemäß ausgeführt und die Daten werden in die Datenbank eingefügt. Vorbereitete Anweisungen helfen, SQL-Injection zu verhindern und die Integrität Ihrer Daten sicherzustellen.

Das obige ist der detaillierte Inhalt vonWie verwende ich PDO-vorbereitete Anweisungen ordnungsgemäß für INSERT INTO-Abfragen in MySQL?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!