MySQL INSERT 쿼리용 PDO와 함께 준비된 문을 올바르게 사용하는 방법은 무엇입니까?

PDO와 함께 준비된 문을 사용하여 MySQL INSERT 쿼리 실행

PDO(PHP 데이터 개체) 영역에서는 다음을 시도할 때 어려움이 발생할 수 있습니다. 준비된 문을 통해 SQL 쿼리를 실행합니다. 일반적인 문제는 INSERT INTO 문을 사용하여 데이터베이스에 레코드를 추가하는 것과 관련됩니다.

다음 코드를 고려하세요.

$dbhost = "localhost";
$dbname = "pdo";
$dbusername = "root";
$dbpassword = "845625";

$link = new PDO("mysql:host=$dbhost;dbname=$dbname","$dbusername","$dbpassword");

$statement = $link->prepare("INSERT INTO testtable(name, lastname, age)
        VALUES('Bob','Desaunois','18')");

$statement->execute();

이 코드는 테스트 테이블 테이블에 새 레코드를 삽입하려고 시도합니다. MySQL 데이터베이스. 그러나 데이터베이스는 비어 있습니다.

이 문제를 해결하려면 SQL 문에 값을 직접 포함하는 대신 매개변수화된 쿼리를 사용해야 합니다. 매개변수화된 쿼리는 자리 표시자(?) 또는 명명된 매개변수(:parameter)를 사용하여 값을 나타내며, 이 값은 실행 중에 실제 값에 바인딩됩니다. 이 접근 방식은 SQL 삽입 공격을 방지하고 데이터 유효성 검사를 보장합니다.

INSERT INTO와 함께 준비된 문을 사용하는 올바른 방법은 다음과 같습니다.

$dbhost = 'localhost';
$dbname = 'pdo';
$dbusername = 'root';
$dbpassword = '845625';

$link = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbusername, $dbpassword);
$link->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
    VALUES (:fname, :sname, :age)');

$statement->execute([
    'fname' => 'Bob',
    'sname' => 'Desaunois',
    'age' => '18',
]);

매개변수화된 쿼리를 사용하면 애플리케이션을 다음과 같은 공격으로부터 보호할 수 있습니다. 악의적인 입력을 차단하고 데이터 무결성을 보장합니다.

위 내용은 MySQL INSERT 쿼리용 PDO와 함께 준비된 문을 올바르게 사용하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!