Bagaimana untuk Memasukkan Pembolehubah PHP dengan Selamat ke dalam Pertanyaan MySQL?-tutorial mysql-php.cn

Bagaimana untuk Memasukkan Pembolehubah PHP dengan Selamat ke dalam Pertanyaan MySQL?

Linda Hamilton

Lepaskan： 2025-01-25 16:42:11

asal

803 orang telah melayarinya

How to Safely Insert PHP Variables into MySQL Queries?

Sertakan pembolehubah PHP dengan selamat dalam pernyataan MySQL

Anda mungkin menghadapi masalah apabila cuba menggunakan pembolehubah PHP sebagai sebahagian daripada pernyataan SQL untuk memasukkan nilai ke dalam jadual MySQL. Untuk memastikan pelaksanaan yang betul, pastikan anda mengikuti peraturan ini:

1. Gunakan pernyataan yang disediakan

Pernyataan yang disediakan adalah penting untuk menambah pembolehubah PHP yang mewakili literal data SQL (rentetan atau nombor). Anda mesti menggantikan pembolehubah dengan ruang letak dalam pernyataan SQL dan kemudian menyediakan, mengikat dan melaksanakan pertanyaan.

Berikut ialah contoh menggunakan mysqli:

<code><br></br>$type = 'testing';<br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $mysqli->prepare($sql);<br></br>$stmt->bind_param("ss", $reporter, $description);<br></br>$stmt->execute();<br></br></code>

Salin selepas log masuk

Untuk PDO, bahagian pengikat dan pelaksanaan boleh digabungkan:

<code><br></br>$sql = "INSERT INTO contents (type,reporter,description) VALUES ('whatever',?,?)";<br></br>$stmt = $pdo->prepare($sql);<br></br>$stmt->execute([$reporter, $description]);<br></br></code>

Salin selepas log masuk

2. Laksanakan penapisan senarai putih

Jika pembolehubah PHP mewakili sebahagian daripada pertanyaan (melangkaui literal data), seperti kata kunci atau pengecam, ia mesti disemak dengan "senarai putih" yang dipratakrifkan bagi nilai yang dibenarkan. Ini memastikan bahawa hanya nilai yang sah dimasukkan dalam rentetan pertanyaan.

Berikut ialah contoh penapisan senarai putih untuk nama medan isihan:

<code><br></br>$orderby = $_GET['orderby'] ?: "name"; // 设置默认值<br></br>$allowed = ["name", "price", "qty"]; // 允许的字段名称白名单<br></br>$key = array_search($orderby, $allowed, true);<br></br>if ($key === false) {throw new InvalidArgumentException("无效的字段名称");<p>}<br></br></p></code>

Salin selepas log masuk

Selepas penapisan senarai putih, pembolehubah $orderby boleh dimasukkan dengan selamat dalam pertanyaan SQL.

Atas ialah kandungan terperinci Bagaimana untuk Memasukkan Pembolehubah PHP dengan Selamat ke dalam Pertanyaan MySQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!