Déclarations préparées MySQL : au-delà de l'échappement
Bien que l'échappement manuel soit une approche courante pour se protéger contre l'injection SQL, il peut être sujet aux erreurs. PDO (PHP Data Objects) offre une alternative robuste au sein du standard MySQL.
PDO garantit que toutes les entrées de la base de données sont traitées comme du texte, éliminant ainsi le besoin d'échappement manuel. Cette approche, combinée à un codage d'entité HTML approprié pour l'affichage des données, fournit une défense solide contre l'injection.
Pour établir une connexion à une base de données avec PDO, créez un objet de base de données :
<code class="php">try { $db = new PDO("mysql:host=[hostname];dbname=[database]", '[username]', '[password]'); $db->setAttribute(PDO::MYSQL_ATTR_INIT_COMMAND, "SET NAMES utf8"); $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $db->exec('SET NAMES utf8'); } catch (PDOException $e) { echo $e->getMessage(); }</code>
Pour préparer une requête, utilisez la méthode de préparation :
<code class="php">$stmt = $db->prepare('SELECT * FROM Table WHERE id = ?');</code>
Liez les valeurs aux espaces réservés de la requête à l'aide de la méthode bindParam :
<code class="php">$stmt->bindParam(1, $id);</code>
Exécutez la requête à l'aide de la méthode d'exécution :
<code class="php">$stmt->execute();</code>
PDO offre de nombreux avantages :
N'oubliez pas de toujours utiliser PDO pour les connexions à la base de données et de le combiner avec codage d'entité HTML approprié pour une gestion sécurisée des données. PDO fournit un moyen robuste et efficace de protéger vos applications contre l'injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!