Penyata yang Disediakan dan Suntikan SQL: Adakah mysql_real_escape_string() Masih Diperlukan?

Menggunakan Penyata Disediakan: Adakah mysql_real_escape_string() Berlebihan?

Dalam bidang interaksi pangkalan data, memastikan integriti data dan mencegah serangan suntikan SQL adalah terpenting. Kenyataan yang disediakan telah muncul sebagai penyelesaian yang mantap untuk mendapatkan pertanyaan pangkalan data. Walau bagaimanapun, persoalan yang berlarutan timbul: adakah masih perlu menggunakan mysql_real_escape_string() apabila menggunakan pernyataan yang disediakan?

Memahami Penyata Disediakan

Pernyataan yang disediakan meningkatkan keselamatan pertanyaan dengan memisahkan Kod SQL daripada input yang disediakan pengguna. Dengan menggunakan simbol pemegang tempat ("?"), pernyataan yang disediakan menghalang kerosakan pertanyaan SQL itu sendiri. Apabila dilaksanakan, pemegang tempat digantikan dengan input yang disediakan, mengurangkan risiko kod hasad disuntik ke dalam pangkalan data.

Fungsi mysql_real_escape_string()

Secara tradisinya, mysql_real_escape_string () digunakan untuk mengendalikan aksara yang melarikan diri dalam input rentetan untuk mengelakkan suntikan SQL. Ia menggantikan watak yang berpotensi berniat jahat dengan watak yang setara dengannya. Walau bagaimanapun, dengan adanya kenyataan yang disediakan, fungsi ini secara amnya tidak diperlukan.

Mengoptimumkan Pertanyaan Anda

Dalam contoh pertanyaan yang disediakan:

$consulta = $_REQUEST["term"]."%";
($sql = $db->prepare('select location from location_job where location like ?'));
$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

$data = array();

while ($sql->fetch()) {
    $data[] = array('label' => $location);
}

Pernyataan yang disediakan seperti di atas adalah pendekatan yang selamat dan cekap untuk melaksanakan pertanyaan SQL. Satu pengoptimuman kecil yang boleh anda lakukan ialah menggunakan keupayaan kaedah execute() untuk menerima tatasusunan nilai sebagai parameter:

$sql->execute([$consulta]);

Kesimpulan

Pernyataan yang disediakan menyediakan penyelesaian komprehensif untuk mencegah serangan suntikan SQL apabila berinteraksi dengan pangkalan data. Dengan memanfaatkan ruang letak, mereka memisahkan input pengguna daripada kod SQL, menjadikan mysql_real_escape_string() berlebihan dalam kebanyakan kes. Ingatlah untuk mengendalikan keluar keluar keluaran dengan betul untuk mengelakkan pelaksanaan kod berniat jahat pada halaman web anda.

Atas ialah kandungan terperinci Penyata yang Disediakan dan Suntikan SQL: Adakah mysql_real_escape_string() Masih Diperlukan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!