mysql ライブラリから PDO に移行するとき、real_escape_string で行っていたように文字列をエスケープする必要が生じる場合があります。 PDO では、より安全で効率的なアプローチを活用できます。
PDO には、パラメータ化されたクエリを実行できる prepare() メソッドが用意されています。パラメータ化は、SQL ステートメントを実行する前にユーザー入力をサニタイズすることにより、SQL インジェクション攻撃を防ぐのに役立ちます。また、クエリ プランをキャッシュすることでパフォーマンスが最適化され、手動で文字列を引用符で囲む必要がなくなります。
PDO::prepare() を使用して一重引用符をエスケープするには、次の手順に従います。
を準備しますステートメント:
$stmt = $pdo->prepare("INSERT INTO table (column) VALUES (:value)");パラメータのバインド:
$stmt->bindParam(':value', $escapedValue);state:
$stmt->execute();
この例では、:value はエスケープされた値のプレースホルダーであり、bindParam() を使用して割り当てることができます。 PDO ドライバーは、一重引用符のエスケープを自動的に処理します。
パラメータ バインディングに PDO::prepare() を使用すると、必要性を排除しながら、セキュリティとパフォーマンスの両方の利点を実現できます。手動文字列エスケープ用。 SQL インジェクションを防止し、データベースの対話を最適化するために、PDO アプリケーションで推奨される方法です。
以上が「mysql_real_escape_string」を使用せずに PDO で文字列を安全にエスケープするにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
