MySQL 확장을 사용한 안전한 MySQL 쿼리
소개
PDO의 보편화에도 불구하고, mysql_* 함수 계열은 여전히 PHP 데이터베이스 상호 작용을 위한 일반적인 선택입니다. 이 라이브러리는 올바르게 사용하면 완벽하게 안전하지만 사용하면 보안 및 기술 문제가 발생하는 경우가 많습니다. 이 기사에서는 MySQL 확장을 안전하게 사용하는 방법을 보여주는 완벽한 코드 샘플을 제공합니다.
일반적인 함정 방지
mysql_* 함수는 다음을 포함한 몇 가지 일반적인 문제로 악명이 높습니다. :
샘플 코드
다음 코드 샘플은 위의 문제를 완화하면서 POST 변수를 기반으로 하는 데이터베이스 테이블 행 위험:
<?php
header('Content-type: text/html; charset=utf-8');
error_reporting(E_ALL | E_STRICT);
ini_set('display_errors', 1);
$config = array(
'host' => '127.0.0.1',
'user' => 'my_user',
'pass' => 'my_pass',
'db' => 'my_database'
);
$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);
if (!$connection) {
trigger_error('Unable to connect to database: ' . mysql_error(), E_USER_ERROR);
}
if (!mysql_select_db($config['db'])) {
trigger_error('Unable to select db: ' . mysql_error(), E_USER_ERROR);
}
if (!mysql_set_charset('utf8')) {
trigger_error('Unable to set charset for db connection: ' . mysql_error(), E_USER_ERROR);
}
$result = mysql_query(
'UPDATE tablename SET name = "' . mysql_real_escape_string($_POST['name']) . '" WHERE id = "' . mysql_real_escape_string($_POST['id']) . '"'
);
if ($result) {
echo htmlentities($_POST['name'], ENT_COMPAT, 'utf-8') . ' updated.';
} else {
trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}
?>주요 기능
결론
이 코드 샘플은 mysql_* 함수 계열을 사용하여 안전한 MySQL 쿼리를 위한 견고한 기반을 제공합니다. 적절한 오류 처리를 구현하고, SQL 삽입을 방지하고, 유니코드를 지원하여 일반적인 함정을 해결합니다. 이러한 방식을 채택함으로써 개발자는 안전하고 안정적인 데이터베이스 기반 애플리케이션을 작성할 수 있습니다.
위 내용은 SQL 주입 및 기타 함정을 피하기 위해 PHP에서 MySQL 확장을 안전하게 사용하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
