Rumah > Artikel > pangkalan data > Mengapa saya harus menggantikan fungsi mysql_* dengan PDO dan pernyataan yang disediakan?

Mengapa saya harus menggantikan fungsi mysql_* dengan PDO dan pernyataan yang disediakan?

Susan Sarandonasal: 2024-11-10 21:09:03292semak imbas

Why should I replace mysql_* functions with PDO and prepared statements?

Menggantikan mysql_* Fungsi dengan PDO dan Penyata Disediakan

Isu:

Secara tradisinya, Pembangun PHP menggunakan fungsi mysql_* untuk sambungan pangkalan data dan manipulasi data. Walau bagaimanapun, fungsi ini dianggap tidak terjamin dan terdedah kepada pelbagai serangan.

PDO dan Penyata Disediakan:

PDO (Objek Data PHP) ialah antara muka piawai untuk interaksi pangkalan data, menawarkan keselamatan dan fleksibiliti yang dipertingkatkan. Penyata yang disediakan, ciri dalam PDO, membenarkan pertanyaan berparameter, yang menghalang serangan suntikan SQL dengan berkesan.

Kelebihan Menggunakan PDO dan Penyata Disediakan:

Keselamatan Dipertingkat: Penyataan yang disediakan menghapuskan keperluan untuk melarikan diri rentetan manual, mengurangkan risiko suntikan SQL.
Sintaks Lebih Mudah: PDO menawarkan sintaks yang konsisten merentas sistem pangkalan data yang berbeza, memudahkan pangkalan data pengendalian.
Peningkatan Prestasi: Dengan mengurangkan keperluan untuk penghuraian dan penyusunan pertanyaan berulang, PDO boleh meningkatkan prestasi dalam beberapa senario.

Menyambung ke Pangkalan Data dengan PDO:

$host = 'host';
$user = 'user';
$pass = 'password';
$database = 'database';

try {
    $dbh = new PDO("mysql:host=$host;dbname=$database", $user, $pass);
} catch (PDOException $e) {
    echo "Unable to connect: " . $e->getMessage();
    exit;
}

Menyedia dan Melaksanakan Pertanyaan dengan Penyata Disediakan:

Untuk mengambil pengguna melalui ID menggunakan pernyataan yang disediakan:

$user_id = $_GET['id'];

$stmt = $dbh->prepare("SELECT * FROM `users` WHERE `id` = :user_id");
$stmt->bindParam(':user_id', $user_id, PDO::PARAM_INT);
$stmt->execute();

$result = $stmt->fetchAll();

Begitu juga, untuk memasukkan data dengan pernyataan yang disediakan:

$username = $_POST['username'];
$email = $_POST['email'];

$stmt = $dbh->prepare("INSERT INTO `users` (username, email) VALUES (?, ?)");
$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindParam(2, $email, PDO::PARAM_STR);
$stmt->execute();

Pertimbangan Keselamatan:

Pernyataan yang disediakan menyediakan keselamatan yang wujud terhadap suntikan SQL dengan memisahkan data daripada pertanyaan. Walau bagaimanapun, adalah penting untuk mengendalikan data input dengan betul untuk mengelakkan kelemahan lain seperti skrip merentas tapak (XSS) atau pemalsuan permintaan merentas tapak (CSRF).

Atas ialah kandungan terperinci Mengapa saya harus menggantikan fungsi mysql_* dengan PDO dan pernyataan yang disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

php sql xss csrf String for pdo using Interface input database issue

Kenyataan：

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel sebelumnya：Bagaimana untuk Mencari Kejadian Terakhir Substring dalam MySQL?Artikel seterusnya：Bagaimana untuk Mencari Kejadian Terakhir Substring dalam MySQL?

Artikel berkaitan

Lihat lagi