搜尋

首頁 >資料庫 >mysql教程 >如何用 PDO 和準備好的語句取代過時的「mysql_*」函數以實現安全的資料庫互動?

如何用 PDO 和準備好的語句取代過時的「mysql_*」函數以實現安全的資料庫互動?

Linda Hamilton
Linda Hamilton原創
2024-11-06 13:42:02404瀏覽

How to Replace Outdated `mysql_*` Functions with PDO and Prepared Statements for Secure Database Interactions?

用PDO 和準備好的語句取代mysql_* 函數

問題:

如何取代過時的mysql_* 函數PDO 和準備好的語句來安全地儲存和檢索資料庫中的資料?

答案:

  1. 建立PDO 連線:
$hostname = '*host*';
$username = '*user*';
$password = '*pass*';
$database = '*database*';

$dbh = new PDO("mysql:host=$hostname;dbname=$database", $username, $password);
$username = $_POST['username'];
$email = $_POST['email'];

$stmt = $dbh->prepare("INSERT INTO `users` (username, email)
                        VALUES (?, ?)");

$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindParam(2, $email, PDO::PARAM_STR);

$stmt->execute();

$stmt->bindParam(1, $username, PDO::PARAM_STR, 255);
  1. >使用準備好的語句插入資料: 
$user_id = $_GET['id'];

$stmt = $dbh->prepare("SELECT * FROM `users` WHERE `id` = ?");

$stmt->bindParam(1, $user_id, PDO::PARAM_INT);
  1. BindParam 的長度參數:
PDO:: PARAM_STR 不需要長度參數。但是,如果資料庫表中的欄位有最大字元數限制,則可以在PDO::PARAM_STR 之後指定它,如下所示:
  • 用於檢索資料的準備語句:
  1. 對不同資料型別使用bindParam:
PDO::PARAM_INT(整數)PDO::PARAM_BOOL(布林值)安全性:安全性:安全性:安全性:安全性: 準備好的語句消除了使用mysql_real_escape_string 等函數手動進行字串轉義的需要。 PDO 安全地處理查詢執行,防止 SQL 注入漏洞。 但是,需要注意的是僅準備好的聲明並不能保證安全。仍應實施輸入驗證和適當的清理措施。

以上是如何用 PDO 和準備好的語句取代過時的「mysql_*」函數以實現安全的資料庫互動?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

sql String if for pdo using Length input table database
陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
上一篇:MySQL 中是否有特定的影像資料類型來儲存每筆記錄的影像?下一篇:MySQL 中是否有特定的影像資料類型來儲存每筆記錄的影像?

相關文章

看更多