mysql_*에서 PDO로 마이그레이션할 때 사용자 입력을 피하는 방법은 무엇입니까?

mysql_real_escape_string과 동등한 PDO

질문:

mysql_*에서 PDO로 마이그레이션할 때, mysql_real_escape_string 함수?

답변:

mysql_real_escape_string과 달리 PDO는 준비된 문을 사용하여 자동 이스케이프를 수행합니다. 준비된 문은 사용자 입력을 SQL 쿼리에 직접 삽입하는 대신 자리 표시자(예: ?)를 사용하여 SQL 삽입 취약점을 방지합니다.

예:

<code class="php">try {
    $db = new PDO(...);
} catch (PDOException $e) {
    echo "Error connecting to mysql: " . $e->getMessage();
}

if (isset($_POST['color'])) {
    $stmt = $db->prepare("SELECT id, name, color FROM Cars WHERE color = ?");
    $stmt->execute([$_POST['color']]);

    $cars = $stmt->fetchAll(\PDO::FETCH_ASSOC);
    var_dump($cars);
}</code>

이 예에서는 , $_POST['color']는 준비된 문의 매개변수로 전달되어 쿼리 삽입을 방지합니다.

추가 참고 사항:

• 항상 포함 보안을 위해 PDO 연결 DSN의 charset=utf8.
• 예외에 대한 PDO 오류 모드(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION)를 활성화하여 데이터베이스 오류를 적절하게 처리합니다.
• 주의하세요 오래된 MySQL 버전(MySQL < 5.3.6)을 사용하는 경우 추가적인 예방 조치가 필요할 수 있습니다.
• PDO 및 SQL 주입 방지에 대한 자세한 내용은 아래 리소스를 참조하세요.

추가 자료:

• MySQL 개발자를 위한 PDO 튜토리얼

위 내용은 mysql_*에서 PDO로 마이그레이션할 때 사용자 입력을 피하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!