首页 >数据库 >mysql教程 >如何用 PDO 和准备好的语句替换过时的'mysql_*”函数以实现安全的数据库交互?

如何用 PDO 和准备好的语句替换过时的'mysql_*”函数以实现安全的数据库交互?

Linda Hamilton
Linda Hamilton原创
2024-11-06 13:42:02405浏览

How to Replace Outdated `mysql_*` Functions with PDO and Prepared Statements for Secure Database Interactions?

用 PDO 和准备好的语句替换 mysql_* 函数

问题:

如何替换过时的 mysql_* 函数PDO 和准备好的语句来安全地存储和检索数据库中的数据?

答案:

  1. 建立 PDO 连接:
$hostname = '*host*';
$username = '*user*';
$password = '*pass*';
$database = '*database*';

$dbh = new PDO("mysql:host=$hostname;dbname=$database", $username, $password);
  1. 使用准备好的语句插入数据:
$username = $_POST['username'];
$email = $_POST['email'];

$stmt = $dbh->prepare("INSERT INTO `users` (username, email)
                        VALUES (?, ?)");

$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindParam(2, $email, PDO::PARAM_STR);

$stmt->execute();
  1. BindParam 的长度参数:

PDO::PARAM_STR 不需要长度参数。但是,如果数据库表中的字段有最大字符数限制,则可以在 PDO::PARAM_STR 之后指定它,如下所示:

$stmt->bindParam(1, $username, PDO::PARAM_STR, 255);
  1. 用于检索数据的准备语句:
$user_id = $_GET['id'];

$stmt = $dbh->prepare("SELECT * FROM `users` WHERE `id` = ?");

$stmt->bindParam(1, $user_id, PDO::PARAM_INT);
  1. 对不同数据类型使用bindParam:
  • PDO::PARAM_STR 对于字符串
  • PDO::PARAM_INT(整数)
  • PDO::PARAM_BOOL(布尔值)
  1. 安全性:
  • 准备好的语句消除了使用 mysql_real_escape_string 等函数手动进行字符串转义的需要。
  • PDO 安全地处理查询执行,防止 SQL 注入漏洞。
  • 但是,需要注意的是仅准备好的声明并不能保证安全。仍应实施输入验证和适当的清理措施。

以上是如何用 PDO 和准备好的语句替换过时的'mysql_*”函数以实现安全的数据库交互?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn