cari

Rumah >pembangunan bahagian belakang >tutorial php >Bagaimanakah Saya Boleh Memasukkan Pembolehubah PHP dengan Selamat dalam Penyata MySQL?

Bagaimanakah Saya Boleh Memasukkan Pembolehubah PHP dengan Selamat dalam Penyata MySQL?

Barbara Streisand
Barbara Streisandasal
2024-12-25 08:10:29304semak imbas

How Can I Safely Include PHP Variables in MySQL Statements?

Termasuk Pembolehubah PHP dalam Penyata MySQL

Anda menghadapi masalah apabila memasukkan nilai ke dalam jadual menggunakan pembolehubah PHP dalam pernyataan VALUES anda . Memahami pendekatan yang betul untuk menyepadukan pembolehubah PHP ke dalam pernyataan MySQL adalah penting.

Gunakan Penyata Disediakan

Memasukkan literal data (rentetan SQL atau nombor) ke dalam pernyataan MySQL memerlukan penggunaan pernyataan yang disediakan. Ia melibatkan:

  1. Menggantikan pembolehubah dengan ruang letak dalam pernyataan SQL anda
  2. Menyediakan pertanyaan yang disemak
  3. Mengikat pembolehubah kepada pemegang tempat
  4. Melaksanakan pertanyaan

Menambah Literal Data dengan Mysqli

Dalam PHP 8.2, langkah-langkah ini boleh digabungkan menjadi satu panggilan:

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";
$mysqli->execute_query($sql, [$reporter, $description]);

Untuk versi PHP yang lebih lama:

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("ss", $reporter, $description);
$stmt->execute();

Menambah Huruf Data dengan PDO

PDO menawarkan pendekatan yang diperkemas:

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$reporter, $description]);

Pembolehubah Penapis untuk Bahagian Pertanyaan Lain

Pembolehubah yang mewakili pertanyaan selain daripada literal (kata kunci, pengecam) hendaklah ditapis melalui a senarai putih. Ini menghalang pemasukan nilai yang tidak diingini.

Sebagai contoh, untuk menapis nama medan berdasarkan input pengguna:

$orderby = $_GET['orderby'] ?: "name"; // set the default value
$allowed = ["name", "price", "qty"]; // the white list of allowed field names
$key = array_search($orderby, $allowed, true); // see if we have such a name
if ($key === false) { 
    throw new InvalidArgumentException("Invalid field name"); 
}

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Memasukkan Pembolehubah PHP dengan Selamat dalam Penyata MySQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

php sql mysql for include Filter mysqli pdo using this input table issue Other
Kenyataan:
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel sebelumnya:Bagaimanakah PHP Menukar Rentetan kepada Nombor Menggunakan Jenis Casting?Artikel seterusnya:Bagaimanakah PHP Menukar Rentetan kepada Nombor Menggunakan Jenis Casting?

Artikel berkaitan

Lihat lagi