MySQL 문에 PHP 변수를 안전하게 포함하려면 어떻게 해야 합니까?

MySQL 문에 PHP 변수 포함

VALUES 문 내에서 PHP 변수를 사용하여 테이블에 값을 삽입할 때 문제가 발생합니다. . PHP 변수를 MySQL 문에 통합하는 적절한 접근 방식을 이해하는 것이 중요합니다.

준비된 문 활용

MySQL 문에 데이터 리터럴(SQL 문자열 또는 숫자)을 삽입하려면 다음이 필요합니다. 준비된 진술의 사용. 여기에는 다음이 포함됩니다.

1. SQL 문의 자리 표시자로 변수 바꾸기
2. 수정된 쿼리 준비
3. 자리 표시자에 변수 바인딩
4. 쿼리 실행

데이터 추가 Mysqli

PHP 8.2에서는 다음 단계를 단일 호출로 결합할 수 있습니다.

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";
$mysqli->execute_query($sql, [$reporter, $description]);

이전 PHP 버전의 경우:

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("ss", $reporter, $description);
$stmt->execute();

다음을 사용하여 데이터 리터럴 추가 PDO

PDO는 간소화된 접근 방식을 제공합니다.

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$reporter, $description]);

다른 쿼리 부분에 대한 필터 변수

쿼리 부분을 나타내는 변수 리터럴(키워드, 식별자) 이외의 항목은 화이트리스트를 통해 필터링되어야 합니다. 이렇게 하면 의도하지 않은 값이 삽입되는 것을 방지할 수 있습니다.

예를 들어 사용자 입력을 기준으로 필드 이름을 필터링하려면 다음과 같이 하세요.

$orderby = $_GET['orderby'] ?: "name"; // set the default value
$allowed = ["name", "price", "qty"]; // the white list of allowed field names
$key = array_search($orderby, $allowed, true); // see if we have such a name
if ($key === false) { 
    throw new InvalidArgumentException("Invalid field name"); 
}

위 내용은 MySQL 문에 PHP 변수를 안전하게 포함하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!