PHP変数をMySQLクエリに安全に挿入する方法は？

MySQL ステートメントに PHP 変数を安全に含めます

SQL ステートメントの一部として PHP 変数を使用して MySQL テーブルに値を挿入しようとすると、問題が発生する可能性があります。正しく実行できるように、次のルールに従ってください:

1. プリペアドステートメントを使用する

プリペアド ステートメントは、SQL データ リテラル (文字列または数値) を表す PHP 変数を追加するために不可欠です。 SQL ステートメント内の変数をプレースホルダーに置き換えてから、クエリを準備、バインド、実行する必要があります。

次に、mysqli を使用した例を示します。

<code><br></br>$type = 'testing';<br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $mysqli->prepare($sql);<br></br>$stmt->bind_param("ss", $reporter, $description);<br></br>$stmt->execute();<br></br></code>

PDO の場合、バインディング部分と実行部分を組み合わせることができます。

<code><br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $pdo->prepare($sql);<br></br>$stmt->execute([$reporter, $description]);<br></br></code>

2. ホワイトリスト フィルタリングを実装する

PHP 変数がキーワードや識別子などのクエリの一部 (データ リテラルを超えたもの) を表す場合、許可される値の事前定義された「ホワイトリスト」と照合する必要があります。これにより、有効な値のみがクエリ文字列に含まれるようになります。

次に、並べ替えフィールド名のホワイトリスト フィルタリングの例を示します:

<code><br></br>$orderby = $_GET['orderby'] ?: "name"; // 设置默认值<br></br>$allowed = ["name", "price", "qty"]; // 允许的字段名称白名单<br></br>$key = array_search($orderby, $allowed, true);<br></br>if ($key === false) {throw new InvalidArgumentException("无效的字段名称");<p>}<br></br></p></code>

ホワイトリスト フィルタリング後、$orderby 変数を SQL クエリに安全に含めることができます。

以上がPHP変数をMySQLクエリに安全に挿入する方法は？の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。