Maison >développement back-end >tutoriel php >Comment puis-je utiliser en toute sécurité LIKE '%{Var}%' avec des instructions préparées en SQL ?

Comment puis-je utiliser en toute sécurité LIKE '%{Var}%' avec des instructions préparées en SQL ?

Susan Sarandonoriginal: 2024-12-15 12:02:11542parcourir

How Can I Safely Use LIKE '%{Var}%' with Prepared Statements in SQL?

Utiliser efficacement les instructions préparées avec LIKE '%{Var}%'

Lorsque vous travaillez avec des entrées utilisateur nettoyées dans des requêtes SQL, il est recommandé d'utiliser des instructions préparées pour atténuer le risque d'attaques par injection SQL. Cependant, l'utilisation du modèle LIKE '%{Var}%' avec des instructions préparées peut présenter des défis.

Approche incorrecte :

La syntaxe suivante générera des erreurs :

$sql = 'SELECT * FROM `users` WHERE username LIKE \'%{?}%\' ';

$sql = 'SELECT * FROM `users` WHERE username LIKE %{?}% ';

Approche correcte :

Pour utiliser LIKE '%{Var}%' avec les instructions préparées correctement, suivez ces étapes :

Créez une variable de chaîne pour contenir le modèle LIKE :

$likeVar = "%" . $ yourParam . "%";

Préparez la requête à l'aide d'un espace réservé :

$ stmt = $ mysqli -> prepare('SELECT * FROM REGISTRY WHERE name LIKE ?');

Liez la variable LIKE à la espace réservé :

$stmt -> bind_param('s', $likeVar);

Exécuter la requête :

$stmt -> execute();

Explication :

$likeVar : cette variable contient le modèle LIKE avec le paramètre fourni par l'utilisateur préfixé et suffixé par caractères génériques.
prepare() vs query() : prepare() crée un objet d'instruction qui peut être exécuté plusieurs fois avec différents paramètres, tandis que query() exécute une requête directement.
bind_param () : Cette méthode associe les paramètres de l'instruction préparée à leurs valeurs de variable respectives. Dans ce cas, l'espace réservé (?) est lié à $likeVar.
execute() : Une fois les paramètres liés, execute() exécute la requête avec les paramètres spécifiés.

En suivant ces étapes, vous pouvez utiliser en toute sécurité LIKE '%{Var}%' dans vos requêtes SQL tout en respectant les meilleures pratiques de sécurité.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

sql String Object while using var this input

Déclaration：

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article précédent：Dois-je appeler exit() après avoir utilisé header() pour la redirection en PHP ?Article suivant：Dois-je appeler exit() après avoir utilisé header() pour la redirection en PHP ?

Articles Liés

Voir plus