Sollte ich in meinen Datenbankinteraktionen immer vorbereitete Anweisungen verwenden?

Wenn vorbereitete Anweisungen unerlässlich sind

Während Sie ursprünglich mysql_connect und mysql_query zum Verwalten von Datenbankinteraktionen verwendet haben, haben Sie aufgrund von Bedenken hinsichtlich der SQL-Injection Nachforschungen angestellt vorbereitete Stellungnahmen. Es entsteht jedoch ein häufiges Missverständnis: Sind vorbereitete Anweisungen nur zum Schutz von Benutzereingaben erforderlich?

Warum Sie immer vorbereitete Anweisungen verwenden sollten

Die Antwort ist eindeutig: Verwenden Sie immer vorbereitete Anweisungen Aussagen, ohne Ausnahme. Auch wenn Sie bei der Verwendung von mysql_num_rows keinen erkennbaren Hacking-Risiken ausgesetzt sind, ist die Verwendung vorbereiteter Anweisungen aus folgenden Gründen überlegen:

• Eliminierung von SQL-Injection: Vorbereitete Anweisungen trennen die Abfragen und Daten und verhindert so, dass Angreifer schädlichen Code in Ihre Datenbank einschleusen. Diese Sicherheitslücke würde es ihnen andernfalls ermöglichen, vertrauliche Daten zu beschädigen oder zu stehlen.
• Erhöhte Sicherheit: Unabhängig von der Datenquelle sollte jede Eingabe, die für die Verwendung in einer SQL-Abfrage vorgesehen ist, eine vorbereitete Anweisung durchlaufen. Dadurch wird sichergestellt, dass alle potenziell schädlichen Daten neutralisiert werden, wodurch potenzielle Sicherheitsverletzungen abgemildert werden.

So funktionieren vorbereitete Anweisungen

Vorbereitete Anweisungen übertragen die Abfrage und die Daten getrennt und ermöglichen so die Datenbank, um sie als eine Transaktion auszuführen. Dieser Schutz ist weitaus robuster als das Verketten von Abfragen mit Daten, was bei mysql_*-Funktionen und gerenderten Datenbanken, die anfällig für SQL-Injection sind, üblich war.

Verwendung vorbereiteter Anweisungen mit PHP-Bibliotheken

Mit PDO können Sie den folgenden veranschaulichenden Code verwenden, um vorbereitet zu verwenden Aussagen:

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?,?)");
$stmt->execute([$name, $value]);

Mit MySQLi lautet der Code wie folgt:

$dbh->execute_query("INSERT INTO REGISTRY (name, value) VALUES (?,?)", [$name, $value]);

Zusätzliche Ressourcen

• [Wie kann ich Verhindern Sie die SQL-Injection php?](https://stackoverflow.com/questions/6020879/how-can-i-prevent-sql-injection-in-php)
• [Was ist SQL-Injection? (Einfache Bedingungen)](https://security.stackexchange.com/questions/7966/what-is-sql-injection-and-how-can-i-prevent-it)

Das obige ist der detaillierte Inhalt vonSollte ich in meinen Datenbankinteraktionen immer vorbereitete Anweisungen verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!