PHP 준비 명령문을 사용하여 MySQL에서 데이터를 안전하게 검색하려면 어떻게 해야 합니까?

PHP에서 안전한 MySQL 준비 명령문 생성

MySQL 준비 명령문을 사용하는 PHP 초보자라면 다음과 같은 내용을 우연히 발견했을 것입니다. 열에서 데이터를 안전하게 검색해야 합니다. 이를 달성하기 위해 준비된 문의 세계로 뛰어들어 쿼리의 안전을 보장해 보겠습니다.

취약한 쿼리 공개

현재 SQL 문은 간단하지만, 보안 측면에서 부족합니다.

$qry = "SELECT * FROM mytable where userid='{$_GET['userid']}' AND category='{$_GET['category']}'ORDER BY id DESC";

이 접근 방식을 사용하면 애플리케이션이 악의적인 사용자가 조작할 수 있는 SQL 주입 공격에 취약해집니다. 특수 문자를 사용하여 쿼리하세요.

안전한 준비 문 작성

쿼리를 방지하려면 준비된 문을 사용하세요.

$stmt = $db->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");

이것은 문은 자리 표시자("?")를 사용하여 입력 매개 변수를 나타냅니다. 그런 다음 이러한 매개변수를 실제 값에 안전하게 바인딩합니다.

$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));

데이터를 별도로 바인딩하여 악의적인 문자가 쿼리를 변경하는 것을 방지합니다.

성능 최적화

Prepared 문의 성능에 미치는 영향이 궁금합니다. 단일 실행에 대해서는 미미한 이점을 제공할 수 있지만 페이지나 루프 내에서 여러 번 실행될 때 정말 빛을 발합니다.

준비된 문은 쿼리 계획을 캐시하므로 실행될 때마다 구문 분석하고 컴파일할 필요가 없습니다. . 이러한 최적화는 특히 복잡한 쿼리의 경우 속도를 크게 향상시킬 수 있습니다.

연관 배열 추출

여러 열을 반환하는 쿼리의 경우 다음 기능을 사용하여 자동으로 연관 배열에 바인딩:

function stmt_bind_assoc (&$stmt, &$out) { ... }

이 유틸리티는 SELECT *에서 반환된 배열 작업 프로세스를 간소화합니다.

결론

MySQL 쿼리를 보호하고 SQL 삽입 공격을 방지하려면 준비된 명령문이 필수적입니다. 이를 구현하면 동일한 쿼리를 여러 번 실행할 때 애플리케이션을 보호하고 성능 최적화를 누릴 수 있습니다. 안전하고 효율적인 데이터 액세스를 위해 준비된 문의 힘을 활용하세요.

위 내용은 PHP 준비 명령문을 사용하여 MySQL에서 데이터를 안전하게 검색하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!