Bagaimana cara memasukkan pembolehubah PHP dengan selamat ke dalam pernyataan MySQL `Nilai`?

Cara memasukkan pembolehubah PHP dalam pernyataan MySQL

Apabila anda memasukkan pembolehubah PHP ($jenis) dalam bahagian VALUES, anda mungkin menghadapi masalah memasukkan nilai ke dalam jadual contents. Mari kita selami langkah yang perlu untuk menyelesaikan isu ini.

1. Gunakan pernyataan yang disediakan

Dalam kebanyakan kes, menggunakan pernyataan yang disediakan adalah penting untuk memasukkan pembolehubah PHP ke dalam pernyataan MySQL. Apabila berurusan dengan literal data SQL (rentetan atau nombor), ia mesti ditambah melalui pernyataan yang disediakan, tanpa sebarang pengecualian. Sebaliknya, nilai malar boleh dimasukkan seperti sedia ada.

2. Penapisan senarai putih

Pastikan anda menggunakan penapisan senarai putih semasa memproses komponen pertanyaan lain seperti kata kunci SQL, nama jadual atau medan atau pengendali. Semak pembolehubah secara manual dalam senarai nilai eksplisit yang ditakrifkan dalam skrip untuk memastikan kesahihannya. Ini menghalang kemungkinan pelanggaran keselamatan.

3 Contoh: Menggunakan PDO untuk memasukkan pembolehubah PHP ke dalam NILAI

Untuk menggambarkan proses menggunakan PDO untuk memasukkan pembolehubah PHP ke dalam bahagian VALUES, pertimbangkan kod berikut:

<code class="language-php">$type = 'testing';
$sql = "INSERT INTO contents (type, reporter, description) VALUES ('whatever', :type, 'some description')";
$stmt = $pdo->prepare($sql);
$stmt->bindParam(':type', $type, PDO::PARAM_STR);
$stmt->execute();</code>

Dalam contoh ini, pembolehubah PHP $type ditambahkan pada bahagian VALUES melalui pemegang tempat bernama (:type). Ambil perhatian bahawa pernyataan yang disediakan digunakan dan pembolehubah terikat pada ruang letak menggunakan bindParam().

Dengan mengikuti garis panduan ini, anda boleh memasukkan pembolehubah PHP dengan cekap dalam pernyataan MySQL sambil memastikan keselamatan dan keteguhan.

Atas ialah kandungan terperinci Bagaimana cara memasukkan pembolehubah PHP dengan selamat ke dalam pernyataan MySQL `Nilai`?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!