MySQL에서 INSERT INTO 쿼리에 대해 PDO 준비 문을 올바르게 사용하는 방법은 무엇입니까?

Prepared 문을 통해 INSERT INTO를 사용하는 PDO

PDO로 작업할 때 준비된 문을 통해 MySQL 쿼리를 실행하는 것은 약간 까다로울 수 있습니다. 제시된 문제를 자세히 살펴보고 해결책을 찾아보겠습니다.

제공된 코드에서 INSERT INTO 문은 문을 준비하지만 실행하지는 않는 prepare() 메서드를 사용하여 구성됩니다. 실제로 질의를 실행하고 데이터를 삽입하기 위해서는 Execute() 메소드를 호출해야 합니다.

또한, PDO와 함께 준비된 문을 사용할 때, 자리 표시자(예: :name, :lastname)를 사용하는 것이 필수적입니다. 값을 직접 포함하는 대신 SQL 쿼리를 사용합니다. 자리 표시자를 사용하면 나중에 준비된 문에 값을 바인딩할 수 있습니다. 이 접근 방식은 SQL 주입 취약점을 방지하여 보안을 강화합니다.

수정된 코드는 다음과 같습니다.

$dbhost = "localhost";
$dbname = "pdo";
$dbusername = "root";
$dbpassword = "845625";

$link = new PDO("mysql:host=$dbhost;dbname=$dbname", "$dbusername", "$dbpassword");
$link->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // Set error mode to exception

$statement = $link->prepare("INSERT INTO testtable(name, lastname, age) VALUES(:name, :lastname, :age)");

$statement->bindParam(':name', 'Bob');
$statement->bindParam(':lastname', 'Desaunois');
$statement->bindParam(':age', 18);

$statement->execute();

자리 표시자를 사용하고 binParam()을 사용하여 값을 바인딩하면 쿼리가 제대로 실행됩니다. 데이터가 데이터베이스에 삽입됩니다. 준비된 명령문은 SQL 주입을 방지하고 데이터 무결성을 보장하는 데 도움이 됩니다.

위 내용은 MySQL에서 INSERT INTO 쿼리에 대해 PDO 준비 문을 올바르게 사용하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!