在MySQL语句中嵌入PHP变量
使用PHP变量增强SQL语句可以动态生成查询。以下是您遇到的问题:
<code class="language-php">$type = 'testing';
mysql_query("INSERT INTO contents (type, reporter, description)
VALUES($type, 'john', 'whatever')");</code>为了解决此错误,请遵循以下指南:
1. 使用预处理语句
对于在语句中表示SQL文字(字符串、数字)的任何变量,这都是强制性的。以下是工作流程:
prepare()方法。bind_param()将占位符与变量值关联。execute()执行预处理查询。在mysqli中(PHP 8.2 ):
<code class="language-php">$type = 'testing';
$reporter = "John O'Hara";
$description = 'whatever'; //添加了description变量
$sql = "INSERT INTO contents (type,reporter,description) VALUES (?,?,?)"; //修改了占位符数量
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("sss", $type, $reporter, $description); //修改了参数类型和数量
$stmt->execute();</code>在mysqli中(较旧的PHP版本):
<code class="language-php">$type = 'testing';
$reporter = "John O'Hara";
$description = 'whatever'; //添加了description变量
$sql = "INSERT INTO contents (type,reporter,description) VALUES (?,?,?)"; //修改了占位符数量
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("sss", $type, $reporter, $description); //修改了参数类型和数量
$stmt->execute();</code>在PDO中:
<code class="language-php">$type = 'testing'; $reporter = "John O'Hara"; $description = 'whatever'; //添加了description变量 $sql = "INSERT INTO contents (type,reporter,description) VALUES (?,?,?)"; //修改了占位符数量 $stmt = $pdo->prepare($sql); $stmt->execute([$type, $reporter, $description]); //修改了参数数量</code>
2. 实现白名单过滤
对于关键字、标识符或运算符等查询部分,请使用白名单方法。通过预定义的允许值列表过滤这些变量:
<code class="language-php">$orderby = $_GET['orderby'] ?? "name"; // 使用 null 合并运算符
$allowed = ["name", "price", "qty"];
if (!in_array($orderby, $allowed, true)) { // 使用 in_array 进行更简洁的检查
throw new InvalidArgumentException("无效的字段名称");
}</code>确保根据数据库语法正确格式化标识符(例如,MySQL的反引号)。然后,安全地将此变量包含在SQL字符串中:
<code class="language-php">$query = "SELECT * FROM `table` ORDER BY `{$orderby}` $direction"; // 使用大括号避免变量名冲突</code>通过使用预处理语句和白名单过滤,您可以有效地防止SQL注入攻击,并安全地将PHP变量集成到您的MySQL查询中。 请注意,mysql_query 函数已被弃用,建议使用 mysqli 或 PDO。 代码示例已更新以反映这一点,并修复了原始示例中的错误。
以上是如何在MySQL语句中安全地嵌入PHP变量?的详细内容。更多信息请关注PHP中文网其他相关文章!
