Rumah >pangkalan data >tutorial mysql >Bagaimana untuk Melarikan Input Pengguna Apabila Berhijrah dari mysql_* ke PDO?

Bagaimana untuk Melarikan Input Pengguna Apabila Berhijrah dari mysql_* ke PDO?

Susan Sarandon
Susan Sarandonasal
2024-10-26 12:51:03580semak imbas

 How to Escape User Input When Migrating from mysql_* to PDO?

PDO Setara dengan mysql_real_escape_string

Soalan:

Apabila berhijrah dari mysql_* ke PDO, apakah persamaannya mysql_real_escape_string function?

Jawapan:

Tidak seperti mysql_real_escape_string, PDO melakukan pelarian automatik melalui penggunaan pernyataan yang disediakan. Penyata yang disediakan menggunakan ruang letak (cth., ?) dan bukannya memasukkan input pengguna secara langsung ke dalam pertanyaan SQL, menghalang kelemahan suntikan SQL.

Contoh:

<code class="php">try {
    $db = new PDO(...);
} catch (PDOException $e) {
    echo "Error connecting to mysql: " . $e->getMessage();
}

if (isset($_POST['color'])) {
    $stmt = $db->prepare("SELECT id, name, color FROM Cars WHERE color = ?");
    $stmt->execute([$_POST['color']]);

    $cars = $stmt->fetchAll(\PDO::FETCH_ASSOC);
    var_dump($cars);
}</code>

Dalam contoh ini , $_POST['color'] diluluskan sebagai parameter dalam pernyataan yang disediakan, melindungi pertanyaan daripada suntikan.

Nota Tambahan:

  • Sentiasa sertakan charset=utf8 dalam DSN sambungan PDO untuk keselamatan.
  • Dayakan mod ralat PDO kepada pengecualian (PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION) untuk mengendalikan ralat pangkalan data dengan baik.
  • Berhati-hati dengan versi MySQL lapuk (MySQL < 5.3.6), di mana langkah berjaga-jaga tambahan mungkin diperlukan.
  • Rujuk sumber di bawah untuk mendapatkan maklumat lanjut tentang pencegahan suntikan PDO dan SQL.

Bacaan Lanjut:

  • Tutorial PDO untuk Pembangun MySQL

Atas ialah kandungan terperinci Bagaimana untuk Melarikan Input Pengguna Apabila Berhijrah dari mysql_* ke PDO?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn