mysql_real_escape_string は MySQL クエリをエスケープして SQL インジェクションを防ぐ方法を提供しますが、PHP データ オブジェクト (PDO) を使用することをお勧めします。
PDO は、さまざまなデータベース サーバーと対話するための統一されたアプローチを提供する PHP のオブジェクト指向インターフェイスです。一般的なデータベース操作をオブジェクトのメソッドとプロパティにカプセル化し、データベースの処理を簡素化します。
1.エスケープ: PDO は、使用されているデータベース エンジンに基づいて入力値を自動的にエスケープします。これは、悪意のある入力によってデータベースが侵害される可能性がある SQL インジェクションを防ぐのに役立ちます。
2.パラメーター化されたクエリ: PDO はパラメーター化されたクエリをサポートしており、SQL ステートメント内のプレースホルダーに値をバインドできます。これにより、クエリ パラメータの偶発的または意図的な操作が防止され、セキュリティがさらに強化されます。
3.データベースの独立性: PDO はさまざまなデータベース サーバー (MySQL、PostgreSQL、Oracle など) に接続できます。接続文字列を変更するだけで、コードを変更せずにデータベース間をシームレスに切り替えることができます。
4.オブジェクト指向設計: PDO はオブジェクト指向であり、ベスト プログラミング プラクティスに従います。これにより、再利用可能なデータベース接続オブジェクトを作成し、より制御性とモジュール性を高めてデータベース操作を処理できるようになります。
MySQL エスケープに PDO を使用するには、次の手順に従います。
データベースへの接続:
<code class="php">$dsn = 'mysql:dbname=mydb;host=localhost'; $user = 'username'; $password = 'password'; $pdo = new PDO($dsn, $user, $password);</code>
クエリの準備:
<code class="php">$query = $pdo->prepare('SELECT * FROM users WHERE username = :username');</code>
パラメータのバインド:
<code class="php">$query->bindParam(':username', $username);</code>
クエリの実行:
<code class="php">$query->execute();</code>
結果のフェッチ:
<code class="php">$results = $query->fetchAll(PDO::FETCH_ASSOC);</code>
PDO を使用すると、MySQL クエリのエスケープと対話のための堅牢で安全なメカニズムを利用できます。データベースを使用します。
以上がMySQL クエリをエスケープするために mysql_real_escape_string を介して PDO を使用するのはどのような場合ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。