보안 데이터베이스 상호 작용을 위해 오래된 `mysql_*` 함수를 PDO 및 준비된 명령문으로 바꾸는 방법은 무엇입니까?

mysql_* 함수를 PDO 및 준비된 명령문으로 교체

질문:

오래된 mysql_* 함수를 다음으로 어떻게 교체할 수 있습니까? 데이터베이스에서 데이터를 안전하게 저장하고 검색하기 위한 PDO 및 준비된 문이 있습니까?

답변:

1. PDO 연결 설정:

$hostname = '*host*';
$username = '*user*';
$password = '*pass*';
$database = '*database*';

$dbh = new PDO("mysql:host=$hostname;dbname=$database", $username, $password);

2. 데이터 삽입을 위해 준비된 문 사용:

$username = $_POST['username'];
$email = $_POST['email'];

$stmt = $dbh->prepare("INSERT INTO `users` (username, email)
                        VALUES (?, ?)");

$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindParam(2, $email, PDO::PARAM_STR);

$stmt->execute();

3. BindParam의 길이 매개변수:

PDO::PARAM_STR에는 길이 매개변수가 필요하지 않습니다. 그러나 데이터베이스 테이블의 필드에 대한 최대 문자 제한이 있는 경우 아래와 같이 PDO::PARAM_STR 뒤에 이를 지정할 수 있습니다.

$stmt->bindParam(1, $username, PDO::PARAM_STR, 255);

4. 데이터 검색을 위해 준비된 명령문 :

$user_id = $_GET['id'];

$stmt = $dbh->prepare("SELECT * FROM `users` WHERE `id` = ?");

$stmt->bindParam(1, $user_id, PDO::PARAM_INT);

5. 다양한 데이터 유형에 대해 bindParam 사용:

• 문자열의 경우 PDO::PARAM_STR
• 정수용 PDO::PARAM_INT
• 부울용 PDO::PARAM_BOOL

6. 안전성:

• 준비된 명령문을 사용하면 mysql_real_escape_string과 같은 함수를 사용하여 수동으로 문자열을 이스케이프할 필요가 없습니다.
• PDO는 쿼리 실행을 안전하게 처리하여 SQL 주입 취약점을 방지합니다.
• 그러나 주의해야 할 사항은 다음과 같습니다. 준비된 진술만으로는 보안이 보장되지 않습니다. 입력 검증 및 적절한 삭제 조치는 여전히 구현되어야 합니다.

위 내용은 보안 데이터베이스 상호 작용을 위해 오래된 `mysql_*` 함수를 PDO 및 준비된 명령문으로 바꾸는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!