如何用 PDO 和準備好的語句取代過時的「mysql_*」函數以實現安全的資料庫互動？

用PDO 和準備好的語句取代mysql_* 函數

問題：

如何取代過時的mysql_* 函數PDO 和準備好的語句來安全地儲存和檢索資料庫中的資料？

答案：

1. 建立PDO 連線：

$hostname = '*host*';
$username = '*user*';
$password = '*pass*';
$database = '*database*';

$dbh = new PDO("mysql:host=$hostname;dbname=$database", $username, $password);

$username = $_POST['username'];
$email = $_POST['email'];

$stmt = $dbh->prepare("INSERT INTO `users` (username, email)
                        VALUES (?, ?)");

$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindParam(2, $email, PDO::PARAM_STR);

$stmt->execute();

$stmt->bindParam(1, $username, PDO::PARAM_STR, 255);

4. >使用準備好的語句插入資料：

$user_id = $_GET['id'];

$stmt = $dbh->prepare("SELECT * FROM `users` WHERE `id` = ?");

$stmt->bindParam(1, $user_id, PDO::PARAM_INT);

5. BindParam 的長度參數：

PDO:: PARAM_STR 不需要長度參數。但是，如果資料庫表中的欄位有最大字元數限制，則可以在PDO::PARAM_STR 之後指定它，如下所示：

• 用於檢索資料的準備語句:

6. 對不同資料型別使用bindParam：

• 對

PDO::PARAM_INT（整數）PDO::PARAM_BOOL（布林值）安全性：安全性：安全性：安全性：安全性： 準備好的語句消除了使用mysql_real_escape_string 等函數手動進行字串轉義的需要。 PDO 安全地處理查詢執行，防止 SQL 注入漏洞。 但是，需要注意的是僅準備好的聲明並不能保證安全。仍應實施輸入驗證和適當的清理措施。

以上是如何用 PDO 和準備好的語句取代過時的「mysql_*」函數以實現安全的資料庫互動？的詳細內容。更多資訊請關注PHP中文網其他相關文章！