communauté
Apprendre
Bibliothèque d'outils
Outils d'IA
Loisirs
recherche
Français
Maison > développement back-end > PHP7 > Comment utiliser les instructions préparées dans PHP 7?

Comment utiliser les instructions préparées dans PHP 7?

Emily Anne Brown
Libérer: 2025-03-10 16:51:17
original
558 Les gens l'ont consulté

Comment utiliser les instructions préparées dans PHP 7?

Les instructions préparées dans PHP 7, en utilisant les extensions MySQLI ou PDO, offrent un moyen structuré d'exécuter des requêtes SQL avec des valeurs paramétrées. Cette approche améliore considérablement la sécurité et les performances par rapport aux variables d'intégration directement en chaînes SQL.

En utilisant MySQLI:

Tout d'abord, vous avez besoin d'une connexion de base de données. Supposons que vous ayez déjà établi une connexion en utilisant mysqli_connect(). 

<?php
$conn = mysqli_connect("localhost", "your_username", "your_password", "your_database");

if (!$conn) {
    die("Connection failed: " . mysqli_connect_error());
}

// Prepare the statement
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");

// Bind parameters. 's' indicates string type.  Adjust as needed for other data types (i, d, b).
$stmt->bind_param("ss", $username, $password);

// Assign values to parameters
$username = $_POST['username'];
$password = $_POST['password']; //Important: NEVER directly use user input without sanitization.  Consider password hashing instead of storing plain text passwords!

// Execute the statement
$stmt->execute();

// Bind result variables
$stmt->bind_result($id, $username, $email, $password); //Replace with your actual column names

// Fetch results
while ($stmt->fetch()) {
    echo "ID: " . $id . "<br>";
    echo "Username: " . $username . "<br>";
    echo "Email: " . $email . "<br>";
    // Avoid echoing the password!
}

// Close the statement and connection
$stmt->close();
$conn->close();
?>
Copier après la connexion

Utilisation de PDO:

PDO offre une approche plus orientée objet. 

<?php
$dsn = 'mysql:host=localhost;dbname=your_database';
$user = 'your_username';
$password = 'your_password';

try {
    $pdo = new PDO($dsn, $user, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");

    $stmt->execute([
        ':username' => $_POST['username'],
        ':password' => $_POST['password'], //Again, NEVER use raw user input directly for passwords.  Hash them!
    ]);

    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);

    foreach ($results as $row) {
        echo "ID: " . $row['id'] . "<br>";
        echo "Username: " . $row['username'] . "<br>";
        echo "Email: " . $row['email'] . "<br>";
        // Avoid echoing the password!
    }

} catch (PDOException $e) {
    echo "Error: " . $e->getMessage();
}
?>
Copier après la connexion

N'oubliez pas de remplacer les valeurs de l'espace réservé par vos rédactions de données et vos noms de table / colonnes. Surtout, toujours désinfecter ou, mieux encore, les entrées des utilisateurs de hachage avant de les utiliser dans les requêtes.

Quels sont les avantages de sécurité de l'utilisation des instructions préparées dans PHP 7?

Les instructions préparées atténuent considérablement les vulnérabilités d'injection SQL. L'injection SQL se produit lorsque les utilisateurs malveillants injectent du code SQL dans les champs d'entrée, modifiant ou compromettant potentiellement votre base de données. Les instructions préparées empêchent cela en séparant le code SQL des données. La base de données traite les paramètres comme des données, et non comme un code exécutable, neutralisant ainsi toutes les tentatives malveillantes pour manipuler la requête. En effet, la base de données analyse la requête une fois pendant la préparation, puis exécute uniquement la requête avec les paramètres fournis.

Comment les instructions préparées améliorent-elles les performances des requêtes de la base de données dans les applications PHP 7?

Les instructions préparées peuvent augmenter les performances de plusieurs façons:

>?
  • Cache de requête: Le serveur de base de données peut mettre en cache le plan d'exécution de l'instruction préparée. Les exécutions ultérieures avec différents paramètres réutilisent ce plan, réduisant les frais généraux d'analyse. Ceci est particulièrement bénéfique pour les requêtes fréquemment exécutées.
  • Réduction du trafic réseau: Étant donné que la requête n'est envoyée qu'une seule fois pendant la préparation, les exécutions suivantes n'envoient que les paramètres, réduisant le trafic réseau entre l'application et le serveur de base de données. conduisant à un traitement de requête plus rapide.
  • Quels sont les pièges courants à éviter lors de la mise en œuvre des instructions préparées dans PHP 7?

Une mauvaise liaison des paramètres:

Ligner correctement tous les paramètres peut entraîner des comportements ou des vulnérabilités de sécurité inattendus. Assurez-vous toujours que le nombre et les types de paramètres correspondent à la requête.
  • Ignorer la gestion des erreurs: Vérifiez toujours les erreurs après la préparation, la liaison et l'exécution de l'instruction. Une bonne gestion des erreurs aide à identifier et à résoudre rapidement les problèmes.
  • Mélange de déclarations préparées et non préparées: L'utilisation incohérente des instructions préparées peut annuler leurs avantages. Efforcez-vous de cohérence dans l'utilisation des instructions préparées tout au long de votre application.
  • Négliciation de désinfection des données (avant la liaison): Bien que les instructions préparées empêchent l'injection SQL, il est crucial de désanitiser les entrées utilisateur
    • avant de les lier aux paramètres. Ceci est important pour l'intégrité des données et la prévention des autres types d'attaques. Par exemple, vous devrez peut-être valider la longueur de l'entrée pour éviter les problèmes de débordement de tampon.
  • Traitement de types de données incorrect: en utilisant des types de données incorrects lorsque les paramètres de liaison peuvent entraîner des erreurs ou des résultats inattendus. Portez une attention particulière aux types de données définis dans votre base de données et utilisez les types de liaison appropriés dans votre code PHP. Par exemple, n'utilisez pas de liaison de chaîne pour une colonne entière.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Article précédent:Comment désinfecter la saisie des utilisateurs dans PHP 7? Article suivant:Comment gérer les erreurs et déboguer le code dans PHP 7?
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Derniers numéros
function_exists() ne peut pas déterminer la fonction personnalisée Function test () {return true;} if (function_exists ('test')) {echo "le test est une ...
Depuis 2024-04-29 11:01:01
0
3
2947
Comment afficher la version mobile de Google Chrome Bonjour professeur, comment puis-je changer Google Chrome en version mobile ?
Depuis 2024-04-23 00:22:19
0
11
3140
La fenêtre enfant exploite la fenêtre parent, mais la sortie ne répond pas. Les deux premières phrases sont exécutables, mais la dernière ne peut pas être implémentée...
Depuis 2024-04-19 15:37:47
0
1
2562
Il n'y a aucune sortie dans la fenêtre parent document.onclick = function(){ window.opener.document.write('Je suis la sortie de la fenêt...
Depuis 2024-04-18 23:52:34
0
1
2508
Où sont les didacticiels sur la cartographie mentale CSS ? Didacticiel
Depuis 2024-04-16 10:10:18
0
0
2542
Rubriques connexes
Plus>
Recommandations populaires
Tutoriels populaires
Plus>
Tutoriels associés
Recommandations populaires
Derniers cours
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal