如何在 MySQL 查詢中安全地包含 PHP 變數？-mysql教程-PHP中文網

如何在 MySQL 查詢中安全地包含 PHP 變數？

Susan Sarandon

發布： 2025-01-25 16:47:15

原創

604 人瀏覽過

How Can I Safely Include PHP Variables in MySQL Queries?

在MySQL 查詢中包含PHP 變量

問題：

在MySQL 語句中包含PHP 變量可能會導致錯誤，尤其是在VALUES 中作為值插入時

解決方案1：使用準備好的語句

準備好的語句提供了一種安全有效的方法來在查詢中包含PHP 變量。操作方法如下：

準備查詢：用佔位符字符（例如？）替換 PHP 變量。
綁定變量： 將 PHP 變量與占位符。
執行查詢： 使用綁定變量運行準備好的語句。

使用mysqli 的示例：

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type, reporter, description) VALUES (?, ?, ?)";
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("sss", $type, $reporter, $description);
$stmt->execute();

登入後複製

使用示例PDO:

$type = 'testing';
$reporter = "John O'Hara";
$sql = "INSERT INTO contents (type, reporter, description) VALUES (?, ?, ?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$type, $reporter, $description]);

登入後複製

解決方案2：使用白名單過濾

對於表示標識符（例如表或字段名稱）的查詢部分，請使用白色列表過濾以確保它們有效。這涉及：

創建白名單：指定允許值的列表。
檢查變量：驗證 PHP 變量是否匹配允許的值。
格式化標識符： 格式根據數據庫語法的標識符（例如，MySQL 的反引號）。

排序依據的白名單過濾示例：

$orderby = $_GET['orderby'] ?: "name"; // Set default
$allowed = ["name", "price", "qty"]; // White list
if (!in_array($orderby, $allowed)) {
    throw new InvalidArgumentException("Invalid ORDER BY field name");
}

登入後複製

以上是如何在 MySQL 查詢中安全地包含 PHP 變數？的詳細內容。更多資訊請關注PHP中文網其他相關文章！