ホームページ >データベース >mysql チュートリアル >準備されたステートメントは、PHP UPDATE クエリのセキュリティとパフォーマンスをどのように強化できるでしょうか?
準備されたステートメントは、PHP UPDATE クエリのセキュリティとパフォーマンスをどのように強化できるでしょうか?
- Mary-Kate Olsenオリジナル
- 2024-10-29 16:29:02903ブラウズ
更新クエリの準備されたステートメント
PHP では、クエリのセキュリティとパフォーマンスを強化するために、準備されたステートメントは非常に重要です。準備されたステートメントでは、変数を直接挿入する代わりにプレースホルダー (?) が使用されるパラメータ化されたクエリが可能です。
UPDATE クエリの例
データを更新する次の mysqli クエリを考えてみましょう。 Applicant テーブル内:
$db_usag->query("UPDATE Applicant SET phone_number ='$phone_number',
street_name='$street_name', city='$city', county='$county', zip_code='$zip_code', day_date='$day_date', month_date='$month_date',
year_date='$year_date' WHERE account_id='$account_id'");
このステートメントを準備するには、すべての変数割り当てをプレースホルダーに置き換えます:
<code class="php">$sql = "UPDATE Applicant SET phone_number=?, street_name=?, city=?, county=?, zip_code=?, day_date=?, month_date=?, year_date=? WHERE account_id=?";</code>
次に、準備されたステートメント オブジェクトを初期化します:
<code class="php">$stmt = $db_usag->prepare($sql);</code>
bind_param() メソッドを使用してパラメータをステートメントにバインドします。それに応じてパラメータのデータ型を指定します。
<code class="php">// Assuming the date and account_id parameters are integers `d` and the rest are strings `s`
$stmt->bind_param('sssssdddd', $phone_number, $street_name, $city, $county,
$zip_code, $day_date, $month_date, $year_date, $account_id);</code>
準備されたステートメントを実行します。
<code class="php">$stmt->execute();</code>
エラーがないか確認します。
<code class="php">if ($stmt->error) {
echo "FAILURE!!! " . $stmt->error;
}</code>
実行された場合成功したら、影響を受ける行の数を取得します:
<code class="php">echo "Updated {$stmt->affected_rows} rows";</code>
最後に、ステートメント オブジェクトを閉じます:
<code class="php">$stmt->close();</code>
プリペアド ステートメントを使用すると、潜在的なインジェクション攻撃を回避し、ステートメントの効率を向上させることができます。データベースのクエリ。
以上が準備されたステートメントは、PHP UPDATE クエリのセキュリティとパフォーマンスをどのように強化できるでしょうか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。