Comment insérer en toute sécurité des variables PHP dans des requêtes MySQL ?-tutoriel mysql-php.cn

Maison

base de données

tutoriel mysql

Comment insérer en toute sécurité des variables PHP dans des requêtes MySQL ?

Linda Hamilton

Jan 25, 2025 pm 04:42 PM

How to Safely Insert PHP Variables into MySQL Queries?

Inclure en toute sécurité des variables PHP dans les instructions MySQL

Vous pouvez rencontrer des problèmes lorsque vous essayez d'utiliser des variables PHP dans le cadre d'une instruction SQL pour insérer des valeurs dans une table MySQL. Pour garantir une exécution correcte, veillez à suivre ces règles :

1. Utilisez des déclarations préparées

Les instructions préparées sont essentielles pour ajouter des variables PHP qui représentent des littéraux de données SQL (chaînes ou nombres). Vous devez remplacer les variables par des espaces réservés dans l'instruction SQL, puis préparer, lier et exécuter la requête.

Ce qui suit est un exemple utilisant mysqli :

<code><br>$type = 'testing';<br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br>$stmt = $mysqli->prepare($sql);<br>$stmt->bind_param("ss", $reporter, $description);<br>$stmt->execute();<br></code>

Pour les AOP, les parties liaison et exécution peuvent être combinées :

<code><br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br>$stmt = $pdo->prepare($sql);<br>$stmt->execute([$reporter, $description]);<br></code>

2. Implémenter le filtrage de la liste blanche

Si une variable PHP représente une partie d'une requête (au-delà d'un littéral de données), comme un mot-clé ou un identifiant, elle doit être vérifiée par rapport à une "liste blanche" prédéfinie de valeurs autorisées. Cela garantit que seules les valeurs valides sont incluses dans la chaîne de requête.

Ce qui suit est un exemple de filtrage de liste blanche pour les noms de champs de tri :

<code><br>$orderby = $_GET['orderby'] ?: "name"; // 设置默认值<br>$allowed = ["name", "price", "qty"]; // 允许的字段名称白名单<br>$key = array_search($orderby, $allowed, true);<br>if ($key === false) {throw new InvalidArgumentException("无效的字段名称");<p>}<br></p></code>

Après le filtrage de la liste blanche, la variable $orderby peut être incluse en toute sécurité dans les requêtes SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article connexe

Quand devriez-vous utiliser un index composite par rapport à plusieurs index uniques uniques?Apr 11, 2025 am 12:06 AM

Dans l'optimisation de la base de données, les stratégies d'indexation doivent être sélectionnées en fonction des exigences de requête: 1. Lorsque la requête implique plusieurs colonnes et que l'ordre des conditions est fixe, utilisez des index composites; 2. Lorsque la requête implique plusieurs colonnes mais que l'ordre des conditions n'est pas fixe, utilisez plusieurs index mono-colonnes. Les index composites conviennent à l'optimisation des requêtes multi-colonnes, tandis que les index mono-colonnes conviennent aux requêtes à colonne unique.

Comment identifier et optimiser les requêtes lentes dans MySQL? (Journal de requête lente, performance_schema)Apr 10, 2025 am 09:36 AM

Pour optimiser la requête lente MySQL, SlowQueryLog et Performance_Schema doivent être utilisées: 1. Activer SlowQueryLog et définir des seuils pour enregistrer la requête lente; 2. Utilisez Performance_schema pour analyser les détails de l'exécution de la requête, découvrir les goulots d'étranglement des performances et optimiser.

MySQL et SQL: Compétences essentielles pour les développeursApr 10, 2025 am 09:30 AM

MySQL et SQL sont des compétences essentielles pour les développeurs. 1.MySQL est un système de gestion de base de données relationnel open source, et SQL est le langage standard utilisé pour gérer et exploiter des bases de données. 2.MySQL prend en charge plusieurs moteurs de stockage via des fonctions de stockage et de récupération de données efficaces, et SQL termine des opérations de données complexes via des instructions simples. 3. Les exemples d'utilisation comprennent les requêtes de base et les requêtes avancées, telles que le filtrage et le tri par condition. 4. Les erreurs courantes incluent les erreurs de syntaxe et les problèmes de performances, qui peuvent être optimisées en vérifiant les instructions SQL et en utilisant des commandes Explication. 5. Les techniques d'optimisation des performances incluent l'utilisation d'index, d'éviter la numérisation complète de la table, d'optimiser les opérations de jointure et d'améliorer la lisibilité du code.

Décrivez le processus de réplication maître-esclave Asynchrones MySQL.Apr 10, 2025 am 09:30 AM

La réplication maître-esclave Asynchrones MySQL permet la synchronisation des données via le binlog, améliorant les performances de lecture et la haute disponibilité. 1) L'enregistrement du serveur maître change en binlog; 2) Le serveur esclave lit le binlog via des threads d'E / S; 3) Le thread SQL du serveur applique le binlog pour synchroniser les données.

MySQL: Concepts simples pour l'apprentissage facileApr 10, 2025 am 09:29 AM

MySQL est un système de gestion de base de données relationnel open source. 1) Créez une base de données et des tables: utilisez les commandes CreateDatabase et CreateTable. 2) Opérations de base: insérer, mettre à jour, supprimer et sélectionner. 3) Opérations avancées: jointure, sous-requête et traitement des transactions. 4) Compétences de débogage: vérifiez la syntaxe, le type de données et les autorisations. 5) Suggestions d'optimisation: utilisez des index, évitez de sélectionner * et utilisez les transactions.

MySQL: une introduction conviviale aux bases de donnéesApr 10, 2025 am 09:27 AM

L'installation et les opérations de base de MySQL incluent: 1. Télécharger et installer MySQL, définir le mot de passe de l'utilisateur racine; 2. Utilisez des commandes SQL pour créer des bases de données et des tables, telles que CreateDatabase et CreateTable; 3. Exécuter les opérations CRUD, utiliser des commandes INSERT, SELECT, UPDATE, DELETE; 4. Créer des index et des procédures stockées pour optimiser les performances et implémenter une logique complexe. Avec ces étapes, vous pouvez créer et gérer les bases de données MySQL à partir de zéro.

Comment fonctionne le pool de tampons InNODB et pourquoi est-il crucial pour la performance?Apr 09, 2025 am 12:12 AM

InnodbBufferPool améliore les performances des bases de données MySQL en chargeant des données et des pages d'index dans la mémoire. 1) La page de données est chargée dans le tampon pour réduire les E / S du disque. 2) Les pages sales sont marquées et rafraîchies au disque régulièrement. 3) Élimination de la page de données de gestion de l'algorithme LRU. 4) Le mécanisme de lecture charge les pages de données possibles à l'avance.

MySQL: la facilité de gestion des données pour les débutantsApr 09, 2025 am 12:07 AM

MySQL convient aux débutants car il est simple à installer, puissant et facile à gérer les données. 1. Installation et configuration simples, adaptées à une variété de systèmes d'exploitation. 2. Prise en charge des opérations de base telles que la création de bases de données et de tables, d'insertion, d'interrogation, de mise à jour et de suppression de données. 3. Fournir des fonctions avancées telles que les opérations de jointure et les sous-questionnaires. 4. Les performances peuvent être améliorées par l'indexation, l'optimisation des requêtes et le partitionnement de la table. 5. Prise en charge des mesures de sauvegarde, de récupération et de sécurité pour garantir la sécurité et la cohérence des données.

See all articles