와일드카드를 PDO 준비 문과 함께 안전하게 사용할 수 있습니까?

PDO 준비 문에서 와일드카드 사용

데이터베이스 프로그래밍 영역에서는 와일드카드 문자가 포함된 쿼리를 수행해야 하는 경우가 많습니다. % 기호와 같은 와일드카드를 사용하면 검색 기준의 값 범위를 일치시킬 수 있습니다. 이러한 맥락에서 PDO 준비된 문과 함께 와일드카드를 활용할 수 있는지에 대한 의문이 제기됩니다.

시작하려면 원래 문의에서 언급된 쿼리를 다시 살펴보겠습니다.

SELECT * FROM `gc_users` WHERE `name` LIKE '%anyname%'

이 쿼리는 이름 필드에 하위 문자열 "anyname"이 포함된 gc_users 테이블에서 모든 레코드를 검색하는 것을 목표로 합니다. PDO 준비된 문을 사용하여 이러한 쿼리를 실행하는 한 가지 방법은 와일드카드 문자를 매개변수에 직접 바인딩하는 것입니다. 그러나 이 방법은 SQL 주입 취약점으로 이어질 수 있습니다.

더 안전한 접근 방식은 와일드카드 문자를 문자열 값으로 매개변수에 바인딩하는 것입니다. 이는 준비된 문에 바인딩하기 전에 매개 변수 변수에 와일드카드 문자를 추가하여 수행할 수 있습니다. 예를 들면 다음과 같습니다.

$name = "%anyname%";
$query = $dbh->prepare("SELECT * FROM `gc_users` WHERE `name` LIKE :name");
$query->bindParam(':name', $name);
$query->execute();

또는bindValue()를 사용하여 매개변수를 값으로 바인딩할 수도 있습니다.

$stmt = $dbh->prepare("SELECT * FROM `gc_users` WHERE `name` LIKE :name");
$stmt->bindValue(':name', '%' . $name . '%');
$stmt->execute();

이러한 지침을 준수하면 준비된 PDO에서 와일드카드를 효과적으로 활용할 수 있습니다. 데이터베이스 애플리케이션의 무결성과 보안을 유지하면서 진술을 유지하세요.

위 내용은 와일드카드를 PDO 준비 문과 함께 안전하게 사용할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!