Secure MySQL Prepared Statements dalam PHP
Pernyataan yang disediakan meningkatkan keselamatan pertanyaan pangkalan data dengan menghalang serangan suntikan SQL. Mereka menggantikan nilai yang dibekalkan pengguna sebagai parameter pengikatan, memastikan tiada kod hasad dilaksanakan secara langsung.
Untuk mencipta kenyataan yang disediakan dengan selamat, ikut langkah berikut:
Berikut ialah contoh:
$stmt = $mysqli->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC"); $stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category'])); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // Process the result row } $stmt->close();
BONUS: Kelajuan Pengoptimuman
Walaupun kenyataan yang disediakan biasanya meningkatkan kelajuan, bilangan kali ia digunakan pada halaman tidak menjejaskan pengoptimuman kelajuan keseluruhan dengan ketara. Kesediaan adalah terutamanya untuk keselamatan, bukan prestasi.
Atas ialah kandungan terperinci Bagaimana Saya Boleh Selamatkan Pertanyaan MySQL dalam PHP Menggunakan Penyata Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!