recherche

Maison >base de données >tutoriel mysql >Comment insérer en toute sécurité des variables PHP dans des requêtes MySQL ?

Comment insérer en toute sécurité des variables PHP dans des requêtes MySQL ?

Linda Hamilton
Linda Hamiltonoriginal
2025-01-25 16:42:11807parcourir

How to Safely Insert PHP Variables into MySQL Queries?

Inclure en toute sécurité des variables PHP dans les instructions MySQL

Vous pouvez rencontrer des problèmes lorsque vous essayez d'utiliser des variables PHP dans le cadre d'une instruction SQL pour insérer des valeurs dans une table MySQL. Pour garantir une exécution correcte, veillez à suivre ces règles :

1. Utilisez des déclarations préparées

Les instructions préparées sont essentielles pour ajouter des variables PHP qui représentent des littéraux de données SQL (chaînes ou nombres). Vous devez remplacer les variables par des espaces réservés dans l'instruction SQL, puis préparer, lier et exécuter la requête.

Ce qui suit est un exemple utilisant mysqli : 

<code><br></br>$type = 'testing';<br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $mysqli->prepare($sql);<br></br>$stmt->bind_param("ss", $reporter, $description);<br></br>$stmt->execute();<br></br></code>

Pour les AOP, les parties liaison et exécution peuvent être combinées : 

<code><br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $pdo->prepare($sql);<br></br>$stmt->execute([$reporter, $description]);<br></br></code>

2. Implémenter le filtrage de la liste blanche

Si une variable PHP représente une partie d'une requête (au-delà d'un littéral de données), comme un mot-clé ou un identifiant, elle doit être vérifiée par rapport à une "liste blanche" prédéfinie de valeurs autorisées. Cela garantit que seules les valeurs valides sont incluses dans la chaîne de requête.

Ce qui suit est un exemple de filtrage de liste blanche pour les noms de champs de tri : 

<code><br></br>$orderby = $_GET['orderby'] ?: "name"; // 设置默认值<br></br>$allowed = ["name", "price", "qty"]; // 允许的字段名称白名单<br></br>$key = array_search($orderby, $allowed, true);<br></br>if ($key === false) {throw new InvalidArgumentException("无效的字段名称");<p>}<br></br></p></code>

Après le filtrage de la liste blanche, la variable $orderby peut être incluse en toute sécurité dans les requêtes SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

php sql mysql mysqli pdo 标识符 字符串
Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:Comment puis-je paramétrer en toute sécurité une clause SQL IN avec un nombre dynamique d'arguments ?Article suivant:Comment puis-je paramétrer en toute sécurité une clause SQL IN avec un nombre dynamique d'arguments ?

Articles Liés

Voir plus