Maison >développement back-end >tutoriel php >Prétraitement de mysqli en PHP préparer
Cet article présente principalement la préparation du prétraitement pour le fonctionnement de mysqli en PHP. Il a une certaine valeur de référence. Maintenant, je le partage avec vous. Les amis dans le besoin peuvent s'y référer
Cette erreur signifie que le deuxième paramètre ne peut pas être transmis par référence
La raison de cette erreur est bind_param Sauf pour le premier paramètre représentant le type de données,
dans la méthode () nécessite l'utilisation de variables au lieu de quantités directes, car les autres paramètres sont passés par référence
$sql = "select * from tmp where myname=? or sex =?"; $stmt = $mysqli->conn->prepare($sql); $name ="a"; $sex="b"; $stmt->bind_param('ss',$name,$sex);//必须要这样传参,且在mysqli等的预处理参数绑定中,必须要指定参数的类型且只能一次性绑定全部参数,不能像PDO那样一个个绑定 //$stmt->bind_param('ss',"a","b"); //这种方式的会报错:Fatal error: Cannot pass parameter 2 by reference$stmt->execute(); if($mysqli->conn->affected_rows){ $result = $stmt->get_result(); while($row = $result->fetch_assoc()){ var_dump($row); } }
2. utilisez addlashes et mysql_real_escape_string en PHP pour empêcher l'injection SQL
Que vous utilisiez addlashes ou mysql_real_escape_string, vous pouvez utiliser des vulnérabilités de codage pour vous connecter en entrant n'importe quel mot de passe d'attaque par injection de serveur ! ! ! ! (Je n'entrerai pas dans les détails sur le principe de l'attaque. Les étudiants intéressés peuvent étudier les problèmes mono-octets et multi-octets dans le codage des caractères)
🎜>La raison pour laquelle mysql_real_escape_string peut empêcher l'injection est que mysql_escape_string lui-même ne peut pas déterminer l'encodage actuel. Vous devez spécifier l'encodage du serveur et celui du client en même temps. En l'ajoutant, vous pouvez empêcher l'injection de problèmes d'encodage. Bien que l'injection SQL puisse être évitée dans une certaine mesure, la solution parfaite suivante est toujours recommandée.
La solution parfaite est d'utiliser PDO et MYSQLi avec le mécanisme Prepared Statement au lieu de mysql_query (Remarque : mysql_query est obsolète depuis PHP 5.5.0 et sera supprimé à l'avenir) : PDO :$pdo = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array('name' => $name)); foreach ($stmt as $row) { // do something with $row
MYSQLI :
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }
PDO :
$pdo = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array('name' => $name)); foreach ($stmt as $row) { // do something with $row }
MYSQLi :
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }Cette erreur signifie que le deuxième paramètre ne peut pas être passé par référence.
La raison de cette erreur est qu'à l'exception du premier paramètre représentant le type de données dans la méthode bind_param(),
nécessite l'utilisation de variables au lieu de quantités directes. , car d'autres paramètres sont transmis par référence
Comment PHP détermine si un lien est valide
Interaction entre PHP et les pages Web
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!