PHP에서 준비된 명령문을 사용하여 MySQL에 양식 데이터를 삽입하는 방법은 무엇입니까?

PHP: 양식의 값을 MySQL에 삽입

문제

데이터베이스 테이블을 생성했고 HTML에서 값을 삽입하려고 합니다. 양식을 작성했지만 데이터베이스는 비어 있습니다. 코드는 SQL 쿼리를 문자열 변수로 선언하지만 실행하지는 않으므로 데이터베이스는 영향을 받지 않습니다.

답변

양식을 사용하여 값을 삽입하려면 다음 단계를 따르세요.

1. 사용자 입력을 절대 신뢰하지 마세요: 양식의 입력이 조작될 수 있으며 잠재적으로 SQL 주입 취약점이 발생할 수 있습니다.
2. 준비된 문 사용: 자리 표시자를 지정할 수 있습니다. SQL 문의 값에 대해 동적으로 변수에 바인딩되어 악의적인 입력을 방지합니다.
3. PHP 코드 수정:

<?php

// Database configuration
include_once 'dbConfig.php';

if (isset($_POST['save'])) {
    // Prepare the statement
    $sql = "INSERT INTO users (username, password, email) VALUES (?,?,?)";
    $stmt = $mysqli->prepare($sql);

    // Bind the parameters to the statement
    $stmt->bind_param("sss", $_POST['username'], $_POST['email'], $_POST['password']);

    // Execute the statement
    $stmt->execute();

    // Close the statement
    $stmt->close();
}

?>

준비된 명령문 참고

• 자리 표시자(?)는 변수 바인딩에 사용됩니다.
• bind_param을 사용하여 변수 유형을 바인딩합니다(예: 문자열 3개에 대해 sss).
• finally insert 실행

비밀번호 보안

비밀번호는 절대 일반 텍스트로 저장하면 안 됩니다. 대신, Password_hash를 사용하여 비밀번호의 보안 해시를 저장하세요.

위 내용은 PHP에서 준비된 명령문을 사용하여 MySQL에 양식 데이터를 삽입하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!