준비된 명령문을 사용하여 PHP에서 MySQL 쿼리를 어떻게 보호할 수 있습니까?

PHP의 안전한 MySQL 준비 문

준비된 문은 SQL 삽입 공격을 방지하여 데이터베이스 쿼리의 보안을 강화합니다. 사용자 제공 값을 바인드 매개변수로 대체하여 악성 코드가 직접 실행되지 않도록 합니다.

안전하게 준비된 명령문을 만들려면 다음 단계를 따르세요.

1. 데이터베이스 연결: mysqli_connect()를 사용하여 데이터베이스에 연결합니다.
2. 준비 쿼리: mysqli_prepare()를 사용하여 준비된 명령문을 생성합니다. 사용자 제공 값에 대한 자리 표시자를 사용하여 쿼리를 제공합니다.
3. 바인드 매개변수: mysqli_stmt_bind_param()을 호출하여 바인드 매개변수의 데이터 유형을 지정하고 실제 값을 자리 표시자에 바인딩합니다.
4. 쿼리 실행: 다음을 사용하여 준비된 문을 실행합니다. mysqli_stmt_execute().
5. 결과 가져오기: 필요에 따라 가져온 결과를 처리합니다.

예는 다음과 같습니다.

$stmt = $mysqli->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process the result row
}

$stmt->close();

보너스: 속도 최적화

Prepared 문은 일반적으로 속도를 향상시키지만 페이지에서 사용되는 횟수는 전체 속도 최적화에 큰 영향을 미치지 않습니다. 준비는 주로 성능이 아닌 보안을 위한 것입니다.

위 내용은 준비된 명령문을 사용하여 PHP에서 MySQL 쿼리를 어떻게 보호할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!