suchen

Heim >Backend-Entwicklung >PHP-Tutorial >Wie kann ich PHP-Variablen sicher in MySQL-INSERT-Anweisungen einbinden?

Wie kann ich PHP-Variablen sicher in MySQL-INSERT-Anweisungen einbinden?

Mary-Kate Olsen
Mary-Kate OlsenOriginal
2024-12-30 14:38:14413Durchsuche

How Can I Safely Include PHP Variables in MySQL INSERT Statements?

Fügen Sie eine PHP-Variable in eine MySQL-Anweisung ein

Das Einfügen von Werten in das Inhaltsverzeichnis mit einer PHP-Variablen als Teil der VALUES-Klausel kann problematisch sein. Lassen Sie uns das Problem angehen und den richtigen Ansatz bereitstellen.

Verwendung vorbereiteter Anweisungen

Die Sicherstellung der korrekten Handhabung von PHP-Variablen in MySQL-Anweisungen ist von entscheidender Bedeutung. Die Hauptregel besteht darin, vorbereitete Anweisungen zu verwenden. Ersetzen Sie PHP-Variablen durch Platzhalter in Ihrer SQL-Anweisung und befolgen Sie diese Schritte:

  1. Bereiten Siedie aktualisierte Abfrage vor
  2. Binden Sie die Variablen an ihre entsprechende Platzhalter
  3. Ausführendie vorbereiteten Anweisung

Vorbereitete Anweisungen implementieren

Mit MySQLi:

<?php
$type = 'testing';
$reporter = "John";
$description = "whatever";

$sql = "INSERT INTO contents (type, reporter, description) VALUES ('$type', ?, ?)";
$mysqli->execute_query($sql, [$reporter, $description]);
?>

Mit PDO:

<?php
$type = 'testing';
$reporter = "John";
$description = "whatever";

$sql = "INSERT INTO contents (type, reporter, description) VALUES ('$type', ?, ?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$reporter, $description]);
?>

Whitelist-Filterung für Bezeichner

Verwenden Sie für Abfrageteile wie Schlüsselwörter oder Bezeichner (Datenbank-, Tabellen- oder Feldnamen) die Whitelist-Filterung. Dabei wird die PHP-Variable explizit mit einer vordefinierten Liste zulässiger Werte verglichen. Wenn die Variable mit einem zulässigen Wert übereinstimmt, kann sie sicher in die Abfrage einbezogen werden. Andernfalls lösen Sie eine Ausnahme für ungültige Eingaben aus.

Fazit

Das Befolgen dieser Richtlinien gewährleistet die sichere und effiziente Handhabung von PHP-Variablen in MySQL-Anweisungen. Die Verwendung vorbereiteter Anweisungen für Variablen, die Datenliterale darstellen, und Whitelist-Filterung für Bezeichner garantiert Datenintegrität und Schutz vor Injektionsangriffen.

Das obige ist der detaillierte Inhalt vonWie kann ich PHP-Variablen sicher in MySQL-INSERT-Anweisungen einbinden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

php sql mysql if for include throw mysqli pdo using this input table database issue
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:Wie kann ich einen durch Kommas getrennten String in ein PHP-Array konvertieren?Nächster Artikel:Wie kann ich einen durch Kommas getrennten String in ein PHP-Array konvertieren?

In Verbindung stehende Artikel

Mehr sehen