Bagaimana Menggunakan Pernyataan yang Disediakan dengan PDO untuk Pertanyaan INSERT MySQL dengan betul?-tutorial php-php.cn

Bagaimana Menggunakan Pernyataan yang Disediakan dengan PDO untuk Pertanyaan INSERT MySQL dengan betul?

Patricia Arquette

Lepaskan： 2024-11-24 22:43:15

asal

833 orang telah melayarinya

How to Properly Use Prepared Statements with PDO for MySQL INSERT Queries?

Melaksanakan Pertanyaan INSERT MySQL Menggunakan Penyata Disediakan dengan PDO

Dalam bidang Objek Data PHP (PDO), kesukaran boleh timbul apabila cuba untuk laksanakan pertanyaan SQL melalui pernyataan yang disediakan. Masalah biasa melibatkan penggunaan pernyataan INSERT INTO untuk menambah rekod pada pangkalan data.

Pertimbangkan kod berikut:

$dbhost = "localhost";
$dbname = "pdo";
$dbusername = "root";
$dbpassword = "845625";

$link = new PDO("mysql:host=$dbhost;dbname=$dbname","$dbusername","$dbpassword");

$statement = $link->prepare("INSERT INTO testtable(name, lastname, age)
        VALUES('Bob','Desaunois','18')");

$statement->execute();

Salin selepas log masuk

Kod ini cuba memasukkan rekod baharu ke dalam jadual ujian dalam pangkalan data MySQL. Walau bagaimanapun, pangkalan data kekal kosong.

Untuk menyelesaikan isu ini, anda perlu menggunakan pertanyaan berparameter dan bukannya membenamkan nilai terus ke dalam pernyataan SQL. Pertanyaan berparameter menggunakan ruang letak (?) atau parameter bernama (:parameter) untuk mewakili nilai, yang kemudiannya terikat kepada nilai sebenar semasa pelaksanaan. Pendekatan ini menghalang serangan suntikan SQL dan memastikan pengesahan data.

Cara yang betul untuk menggunakan pernyataan yang disediakan dengan INSERT INTO adalah seperti berikut:

$dbhost = 'localhost';
$dbname = 'pdo';
$dbusername = 'root';
$dbpassword = '845625';

$link = new PDO("mysql:host=$dbhost;dbname=$dbname", $dbusername, $dbpassword);
$link->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
    VALUES (:fname, :sname, :age)');

$statement->execute([
    'fname' => 'Bob',
    'sname' => 'Desaunois',
    'age' => '18',
]);

Salin selepas log masuk

Dengan menggunakan pertanyaan berparameter, anda melindungi aplikasi anda daripada input berniat jahat dan memastikan integriti data anda.

Atas ialah kandungan terperinci Bagaimana Menggunakan Pernyataan yang Disediakan dengan PDO untuk Pertanyaan INSERT MySQL dengan betul?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!