Les instructions préparées doivent-elles être évitées pour les requêtes à exécution unique dans un environnement hébergé ?

Quand éviter les instructions préparées

Une pratique courante pour prévenir les attaques par injection SQL consiste à utiliser des instructions préparées. Cependant, il existe des cas où les instructions préparées peuvent ne pas être l'option la plus appropriée.

Dans ce cas spécifique, le développeur est en train de réorganiser une application Web qui utilise des requêtes de base telles que SELECT foo,bar FROM baz WHERE quux = ? Barre ORDER BY LIMIT 1. Ces requêtes ne sont exécutées qu'une seule fois par page consultée. De plus, le développeur se trouve dans un environnement hébergé et préfère éviter une charge supplémentaire sur le serveur.

Compte tenu de ces considérations, le développeur se demande si l'utilisation d'instructions préparées est nécessaire.

Réponse

Pour déterminer si les instructions préparées doivent être évitées, il est essentiel de considérer que les instructions préparées offrent deux avantages principaux :

• Prévention des injections : Les instructions préparées empêchent l'injection SQL attaques en liant les paramètres séparément de la requête, garantissant que les entrées de l'utilisateur ne peuvent pas modifier la structure de la requête.
• Réutilisation des requêtes : Les instructions préparées peuvent être exécutées plusieurs fois avec différents paramètres sans qu'il soit nécessaire de recompiler le requête, améliorant les performances.

Dans ce scénario spécifique, le développeur ne se soucie pas de la réutilisation des requêtes puisque chaque requête n'est exécutée qu'une seule fois par page consultée. Par conséquent, le bénéfice en termes de performances de la réutilisation des requêtes est négligeable.

Cependant, l’aspect prévention des injections reste une préoccupation. Pour résoudre ce problème, le développeur peut envisager d'utiliser des instructions préparées émulées. Ces instructions utilisent des fonctions PHP pour gérer les guillemets et le remplacement de paramètres, offrant ainsi une protection contre l'injection SQL sans la surcharge de plusieurs allers-retours dans la base de données.

Recommandation

Basée sur les informations à condition, il est conseillé d’éviter d’utiliser des instructions préparées et d’opter plutôt pour des instructions préparées émulées. Cette approche offre une protection contre l'injection SQL tout en évitant les allers-retours supplémentaires dans la base de données qu'entraîneraient de véritables instructions préparées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!