PDO 如何保護您的 MySQL 應用程式免受 SQL 注入？

MySQL 準備語句：使用 PDO 確保資料安全性

擔心 MySQL 應用程式中的轉義函數和 SQL 注入漏洞？ MySQL 準備好的語句功能可能無法使用，但這並不代表您必須在安全性上做出妥協。

PDO：安全替代方案

PHP 資料物件 ( PDO）是一個功能強大的函式庫，提供與資料庫互動的一致介面。使用 PDO，您可以連接到 MySQL 資料庫並將所有資料庫輸入視為文字字串，從而無需手動轉義。

使用PDO 連接到MySQL

到開始使用PDO，建立一個資料庫對象，如下所示：

$db = new PDO("mysql:host=[hostname];dbname=[database]", '[username]', '[password]');

將字元編碼設定為UTF-8:

$db->setAttribute(PDO::MYSQL_ATTR_INIT_COMMAND, "SET NAMES utf8");
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->exec('SET NAMES utf8');

執行準備語句

建立資料庫物件後，您現在可以執行準備好的語句：

• 選擇查詢：

$id = 1;
$q = $db->prepare('SELECT * FROM Table WHERE id = ?');
$q->execute(array($id));

• 更新查詢：

$q = $db->prepare('UPDATE Table SET Column_1 = ?, Column_2 = ? WHERE id = ?');
$q->execute(array('Value for Column_1', 'Value for Column_2', $id));

更新查詢：

• 更新查詢：

$search = 'John';
$q = $db->prepare('SELECT * FROM Table WHERE Column_1 LIKE ?');
$q->execute(array('%'.$search.'%'));

更新查詢：

更新查詢：

更新查詢：更新查詢：更新查詢：更新詢問通配符搜尋：結論透過使用PDO 和準備好的語句，您可以透過降低SQL 注入風險來增強MySQL 應用程式的安全性。憑藉其簡化的介面和強大的安全功能，PDO 是保護您的資料庫免受惡意攻擊不可或缺的工具。

以上是PDO 如何保護您的 MySQL 應用程式免受 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！