Échapper des chaînes avec PDO
Dans la transition de la bibliothèque mysql obsolète vers PDO, on peut s'interroger sur un remplacement approprié pour la fonction real_escape_string .
Approche des paramètres de PDO Binding
PDO fournit une meilleure solution pour échapper des chaînes, éliminant le besoin de manipulation manuelle des chaînes. Grâce à ses méthodes Prepare et Execute, PDO prépare une requête et la lie à des valeurs de paramètres spécifiques, qui sont automatiquement échappées.
Avantages des instructions préparées
Les instructions préparées offrent plusieurs avantages :
Exemple de Utilisation des instructions préparées
Pour échapper à une citation simple à l'aide d'instructions préparées dans PDO, considérez ce qui suit exemple :
<?php $pdo = new PDO("mysql:host=localhost;dbname=mydatabase", "username", "password"); $statement = $pdo->prepare("INSERT INTO users (name, email) VALUES (?, ?)"); $statement->execute(array("John Doe", "john.doe@example.com")); ?>
Ici, les paramètres (John Doe et john.doe@example.com) sont automatiquement échappés et liés à la requête, garantissant l'intégrité des données et la protection contre l'injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!