Comment insérer en toute sécurité des variables PHP dans des requêtes MySQL ?-tutoriel mysql-php.cn

Comment insérer en toute sécurité des variables PHP dans des requêtes MySQL ?

Linda Hamilton

Libérer： 2025-01-25 16:42:11

original

803 Les gens l'ont consulté

How to Safely Insert PHP Variables into MySQL Queries?

Inclure en toute sécurité des variables PHP dans les instructions MySQL

Vous pouvez rencontrer des problèmes lorsque vous essayez d'utiliser des variables PHP dans le cadre d'une instruction SQL pour insérer des valeurs dans une table MySQL. Pour garantir une exécution correcte, veillez à suivre ces règles :

1. Utilisez des déclarations préparées

Les instructions préparées sont essentielles pour ajouter des variables PHP qui représentent des littéraux de données SQL (chaînes ou nombres). Vous devez remplacer les variables par des espaces réservés dans l'instruction SQL, puis préparer, lier et exécuter la requête.

Ce qui suit est un exemple utilisant mysqli :

<code><br></br>$type = 'testing';<br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $mysqli->prepare($sql);<br></br>$stmt->bind_param("ss", $reporter, $description);<br></br>$stmt->execute();<br></br></code>

Copier après la connexion

Pour les AOP, les parties liaison et exécution peuvent être combinées :

<code><br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $pdo->prepare($sql);<br></br>$stmt->execute([$reporter, $description]);<br></br></code>

Copier après la connexion

2. Implémenter le filtrage de la liste blanche

Si une variable PHP représente une partie d'une requête (au-delà d'un littéral de données), comme un mot-clé ou un identifiant, elle doit être vérifiée par rapport à une "liste blanche" prédéfinie de valeurs autorisées. Cela garantit que seules les valeurs valides sont incluses dans la chaîne de requête.

Ce qui suit est un exemple de filtrage de liste blanche pour les noms de champs de tri :

<code><br></br>$orderby = $_GET['orderby'] ?: "name"; // 设置默认值<br></br>$allowed = ["name", "price", "qty"]; // 允许的字段名称白名单<br></br>$key = array_search($orderby, $allowed, true);<br></br>if ($key === false) {throw new InvalidArgumentException("无效的字段名称");<p>}<br></br></p></code>

Copier après la connexion

Après le filtrage de la liste blanche, la variable $orderby peut être incluse en toute sécurité dans les requêtes SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!