PHP에서 쿼리하는 방법

인터넷 기술의 발달로 데이터베이스는 데이터를 저장하는 중요한 수단이 되었습니다. PHP는 웹사이트 개발에서도 중요한 역할을 하는 널리 사용되는 서버측 스크립팅 언어입니다. PHP에서 데이터베이스 쿼리는 개발 시 일반적인 작업 중 하나입니다. 그래서 이번 글에서는 PHP에서 쿼리 작업을 수행하는 방법을 소개하겠습니다.

1. 데이터베이스에 연결

쿼리 작업을 수행하기 전에 먼저 데이터베이스에 연결해야 합니다. PHP는 MySQL 서버에 대한 새로운 연결을 여는 데 사용되는 내장 함수 mysqli_connect()를 제공합니다. 이 함수는 서버 주소, 사용자 이름, 비밀번호, 데이터베이스 이름과 같은 매개변수를 전달해야 합니다. 샘플 코드는 다음과 같습니다.

<?php
$servername = "localhost";
$username = "yourusername";
$password = "yourpassword";
$dbname = "yourdbname";

// 创建连接
$conn = mysqli_connect($servername, $username, $password, $dbname);

// 检测连接是否成功
if (!$conn) {
    die("Connection failed: " . mysqli_connect_error());
}
echo "Connected successfully";
?>

위 코드에서는 서버 주소, 사용자 이름, 비밀번호 및 데이터베이스 이름의 네 가지 매개 변수를 전달합니다. 연결에 실패하면 mysqli_connect_error() 함수를 통해 오류 정보를 출력한다. 연결에 성공하면 "Connected 성공적으로"가 출력됩니다.

2. 쿼리문 실행

연결이 성공한 후 mysqli_query() 함수를 사용하여 쿼리문을 실행할 수 있습니다. 연결 개체와 실행할 SQL 문이라는 두 가지 매개 변수를 전달해야 합니다. 샘플 코드는 다음과 같습니다.

<?php
$sql = "SELECT id, name, age FROM users";
$result = mysqli_query($conn, $sql);

if (mysqli_num_rows($result) > 0) {
    // 输出数据
    while($row = mysqli_fetch_assoc($result)) {
        echo "id: " . $row["id"]. " - Name: " . $row["name"]. " - Age: " . $row["age"]. "<br>";
    }
} else {
    echo "0 results";
}

// 关闭连接
mysqli_close($conn);
?>

위 코드에서는 users 테이블의 id, name, age 컬럼의 데이터를 조회하기 위해 SELECT 문을 실행했습니다. mysqli_query() 함수를 사용하여 명령문을 실행하고 결과를 $result에 저장합니다. 데이터를 쿼리하면 결과 세트의 데이터를 mysqli_fetch_assoc() 함수를 통해 한 줄씩 읽어 페이지에 출력한다. 데이터가 발견되지 않으면 "결과 0개"가 출력됩니다. 마지막으로 mysqli_close() 함수를 사용하여 연결을 닫습니다.

3. SQL 인젝션 방지

위 예시에서는 기본적인 쿼리 작업은 완료되었으나, SQL 인젝션이 존재하기 때문에 실제 개발에서는 더욱 주의가 필요합니다. PHP는 SQL 주입 공격을 방지하기 위한 몇 가지 기능을 제공합니다.

1. mysqli_real_escape_string() 함수

이 함수는 SQL 쿼리에서 작은따옴표, 큰따옴표 등과 같은 특수 문자를 이스케이프하는 데 사용됩니다. 악의적인 사용자가 SQL 주입 코드를 전달하는 것을 방지하기 위해 쿼리 작업을 실행하기 전에 이 기능을 사용하여 입력 데이터를 이스케이프할 수 있습니다. 샘플 코드는 다음과 같습니다.

<?php
$name = mysqli_real_escape_string($conn, $_POST['name']);
$sql = "SELECT * FROM users WHERE name='$name'";
$result = mysqli_query($conn, $sql);

if ($result) {
    // 输出数据
    while($row = mysqli_fetch_assoc($result)) {
        echo "id: " . $row["id"]. " - Name: " . $row["name"]. " - Age: " . $row["age"]. "<br>";
    }
} else {
    echo "0 results";
}

// 关闭连接
mysqli_close($conn);
?>

위 코드에서는 mysqli_real_escape_string() 함수를 사용하여 사용자가 입력한 $name을 이스케이프합니다. 쿼리 문을 구성할 때 이스케이프된 $name이 SQL 삽입 공격을 방지하기 위해 SQL 문에 삽입됩니다.

2. Prepared 문

PHP에서는 준비된 문을 사용하여 SQL 주입 공격을 피할 수도 있습니다. 준비된 명령문은 SQL 문을 실행하기 전에 데이터베이스에 전처리 명령을 보내 실행할 SQL 문의 구조와 데이터 유형을 데이터베이스에 알려주는 것입니다. 그런 다음 SQL 주입 공격을 방지하기 위해 쿼리 매개변수가 준비된 명령문과 함께 데이터베이스로 전송됩니다. 샘플 코드는 다음과 같습니다.

<?php
$stmt = $conn->prepare("SELECT * FROM users WHERE name=?");
$stmt->bind_param("s", $name);

$name = mysqli_real_escape_string($conn, $_POST['name']);
$stmt->execute();
$result = $stmt->get_result();

if ($result->num_rows > 0) {
    // 输出数据
    while($row = $result->fetch_assoc()) {
        echo "id: " . $row["id"]. " - Name: " . $row["name"]. " - Age: " . $row["age"]. "<br>";
    }
} else {
    echo "0 results";
}

// 关闭连接
$stmt->close();
$conn->close();
?>

위 코드에서는 먼저 $conn->prepare() 함수를 사용하여 준비된 문을 생성하고 $stmt->bind_param() 함수를 사용하여 매개 변수를 바인딩했습니다. 쿼리 작업을 실행하기 전에 사용자가 입력한 $name을 이스케이프하고 바인딩 매개변수의 $s 변수에 할당합니다. 마지막으로 $stmt->execute() 함수를 사용하여 준비된 문을 실행하고 $stmt->get_result() 함수를 사용하여 질의 결과를 얻어 질의 작업을 완료합니다.

4. 결론

PHP에서 데이터베이스를 쿼리하는 것은 매우 일반적인 작업이지만 SQL 주입 공격이 있기 때문에 더욱 주의해야 합니다. 실제 개발에서는 일반적으로 위에서 소개한 주입 방지 조치와 함께 쿼리 작업을 수행합니다. 이 기사가 PHP 개발 시 쿼리 작업에 도움이 되기를 바랍니다.

위 내용은 PHP에서 쿼리하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!