PDO: Escaping Strings for Database Insertion
Apabila bekerja dengan PDO, tugas biasa adalah untuk melepaskan rentetan sebelum memasukkannya ke dalam pangkalan data untuk mencegah serangan suntikan SQL. Panduan ini mempamerkan kaedah pilihan untuk melepaskan rentetan menggunakan PDO::prepare().
Apakah itu PDO::prepare()?
PDO::prepare() ialah kaedah PDO yang menyediakan pernyataan SQL untuk pelaksanaan. Dengan menyediakan kenyataan, PDO boleh mengoptimumkan pelaksanaannya dan meningkatkan prestasi.
Melepaskan Petikan Tunggal dengan PDO::prepare()
PDO::prepare() menghapuskan keperluan untuk rentetan manual melarikan diri dengan mengendalikan petikan parameter secara automatik. Hanya sediakan pertanyaan berparameter dengan ruang letak untuk nilai dinamik:
$stmt = $pdo->prepare("INSERT INTO table (column) VALUES (:value)"); $escapedValue = 'This contains a single quote: \', but is escaped'; $stmt->bindParam(':value', $escapedValue); $stmt->execute();
Faedah PDO::prepare()
Selain daripada melepaskan rentetan, menggunakan PDO::prepare () menawarkan beberapa faedah:
Kesimpulan
PDO::prepare() ialah kaedah yang disyorkan untuk melarikan diri daripada rentetan dan mencegah serangan suntikan SQL apabila menggunakan PDO. Faedahnya termasuk prestasi yang dioptimumkan, keselamatan dan konsistensi.
Atas ialah kandungan terperinci Bagaimanakah PDO::prepare() Mencegah Suntikan SQL Apabila Memasukkan Rentetan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!