Maison > Article > développement back-end > Comment les requêtes paramétrées dans MySQLi peuvent-elles protéger les applications PHP des vulnérabilités d'injection SQL ?
Utilisation des paramètres dans MySQLi pour des requêtes efficaces et sécurisées
Dans le domaine de la programmation de bases de données PHP, lorsque vous travaillez avec MySQL via l'interface MySQLi, il est courant de rencontrer des scénarios dans lesquels les requêtes impliquent des paramètres dynamiques. Prenons l'exemple suivant :
SELECT $fields FROM $table WHERE $this = $that AND $this2 = $that2
Pour construire de telles requêtes manuellement en interpolant des valeurs dans la chaîne SQL, vous feriez quelque chose comme ceci :
$search = array('name' => 'michael', 'age' => 20); $query = "SELECT $fields FROM $table WHERE name = '$search[name]' AND age = '$search[age]'";
Cependant, cette approche soulève des inquiétudes quant à Vulnérabilités d'injection SQL. Pour résoudre ce problème, MySQLi propose une solution robuste utilisant des requêtes paramétrées.
La puissance des requêtes paramétrées
Les requêtes paramétrées vous permettent de transmettre les paramètres de requête séparément de l'instruction SQL elle-même. . Cela améliore considérablement la sécurité en empêchant l'exécution de code malveillant susceptible d'exploiter les entrées de l'utilisateur. Voici à quoi ressemblerait une requête paramétrée pour l'exemple ci-dessus :
$db = new mysqli(...); $name = 'michael'; $age = 20; $stmt = $db->prepare("SELECT $fields FROm $table WHERE name = ? AND age = ?"); $stmt->bind_param("si", $name, $age); $stmt->execute(); $stmt->close();
Explication détaillée
Conseils supplémentaires
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!