首页 > 后端开发 > php教程 > 如何使用 URL 参数在 PHP 中安全地创建 MySQL 准备语句?

如何使用 URL 参数在 PHP 中安全地创建 MySQL 准备语句?

Patricia Arquette
发布: 2024-12-14 00:50:17
原创
668 人浏览过

How Can I Securely Create MySQL Prepared Statements in PHP Using URL Parameters?

在 PHP 中创建安全的 MySQL 准备语句

准备语句为数据库查询提供更高的安全性和潜在的性能改进。这是使用 URL 参数的输入在 PHP 中创建安全 MySQL 准备语句的综合指南。

创建准备语句

实例化 MySQLi 连接并使用 mysqli_prepare 准备语句( ):

$db = new mysqli("host","user","pw","database");
$stmt = $db->prepare("SELECT * FROM mytable where userid=? AND category=? ORDER BY id DESC");
登录后复制

绑定参数

使用 mysqli_stmt_bind_param() 将输入参数值绑定到语句占位符:

$userid = intval($_GET['userid']);
$category = intval($_GET['category']);
$stmt->bind_param('ii', $userid, $category);
登录后复制

执行和获取数据

执行准备好的语句并使用 mysqli_stmt_execute() 检索结果和mysqli_stmt_store_result():

$stmt->execute();
$stmt->store_result();
登录后复制

使用 mysqli_stmt_bind_result() 将列名绑定到变量并迭代结果:

$stmt->bind_result($column1, $column2, $column3);
while ($stmt->fetch()) {
    echo "col1=$column1, col2=$column2, col3=$column3 \n";
}
登录后复制

增强关联的灵活性数组

对于返回多列的查询(例如 SELECT *),您可以使用 stmt_bind_assoc() 函数将结果绑定到关联数组:

$resultrow = array();
stmt_bind_assoc($stmt, $resultrow);

while ($stmt->fetch()) {
    print_r($resultrow);
}
登录后复制

性能增强

使用准备好的语句时可以提高同一查询多次执行的性能,但创建和准备语句的开销可能不足以仅在三到四次执行中使用它们。

通过执行以下步骤,您可以确保您的 MySQL 查询安全高效。

以上是如何使用 URL 参数在 PHP 中安全地创建 MySQL 准备语句?的详细内容。更多信息请关注PHP中文网其他相关文章!

来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板