Comment insérer en toute sécurité des valeurs de formulaire dans une base de données MySQL en PHP ?

Insérer des valeurs du formulaire dans MySQL

En PHP, insérer des valeurs d'un formulaire dans une base de données MySQL est une tâche courante. Cependant, si le code n'est pas exécuté correctement, le résultat attendu peut ne pas se produire.

Considérez ce code :

$sql = "INSERT INTO users (username, password, email)
VALUES ('".$_POST["username"]."','".$_POST["password"]."','".$_POST["email"]."')";

Ce code crée une variable de chaîne qui contient une requête MySQL, mais elle n'exécute pas la requête. Pour exécuter la requête, vous devez suivre les étapes suivantes :

1. Préparer l'instruction :

   $stmt = $mysqli->prepare($sql);

2. Paramètres de liaison :

   $stmt->bind_param("sss", $_POST['username'], $_POST['email'], $_POST['password']);

3. Exécuter l'instruction :

   $stmt->execute();

En préparant le et en liant les paramètres, vous évitez les attaques par injection SQL et garantissez que les entrées de l'utilisateur sont traitées en toute sécurité.

Il est également crucial de prendre en compte l'aspect sécurité du stockage des mots de passe. Au lieu de stocker des mots de passe en texte brut, il est recommandé d'utiliser la fonction password_hash pour stocker un hachage du mot de passe, améliorant ainsi la sécurité de votre application.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!