Hướng dẫn mysql prepare php - mysql chuẩn bị php
Các câu lệnh được chuẩn bị (prepared statements) rất hữu ích để chống lại các cuộc tấn công SQL Injection. Chuẩn bị câu lệnh và liên kết tham sốMột câu lệnh được chuẩn bị (prepared statement) là một tính năng được sử dụng để thực thi các câu lệnh SQL giống nhau (hoặc tương tự) lặp đi lặp lại với hiệu quả cao. Một câu lệnh được chuẩn bị về cơ bản hoạt động như thế này:
So với việc thực thi trực tiếp các câu lệnh SQL, các câu lệnh được chuẩn bị có ba ưu điểm chính:
Chuẩn bị câu lệnh trong MySQLiVí dụ sau sử dụng các câu lệnh được chuẩn bị và liên kết các tham số trong MySQLi: MySQLi hướng đối tượngNhư bạn thấy trong ví dụ trên có câu truy vấn SQL như sau:
Trong truy vấn SQL này chúng tôi chèn một dấu hỏi (?), đây là nơi chúng tôi muốn thay thế bằng một giá trị kiểu integer, string, double hoặc BLOB. Sau đó, chúng tôi gọi hàm
Hàm này liên kết các tham số với truy vấn SQL và cho cơ sở dữ liệu biết các tham số là gì. Đối số "sss" liệt kê các kiểu dữ liệu của các tham số. Ký tự s nói với mysql rằng tham số là một chuỗi. Trong truy vấn chúng ta có 3 đối số kiểu string là Đối số có thể là một trong bốn loại sau:
Chúng ta phải có một trong số này cho mỗi tham số. Bằng cách nói cho mysql kiểu dữ liệu nào được yêu cầu, chúng ta đã giảm thiểu rủi ro của SQL Injection. Lưu ý: Nếu chúng ta muốn chèn bất kỳ dữ liệu nào từ các nguồn bên ngoài (như dữ liệu đầu vào của người dùng), điều rất quan trọng là dữ liệu được lọc và xác thực. Nếu chúng ta muốn chèn bất kỳ dữ liệu nào từ các nguồn bên ngoài (như dữ liệu đầu vào của người dùng), điều rất quan trọng là dữ liệu được lọc và xác thực. Chuẩn bị câu lệnh trong PDOVí dụ sau sử dụng các câu lệnh được chuẩn bị và liên kết các tham số trong PDO: PDONếu Comdy hữu ích và giúp bạn tiết kiệm thời gianComdy hữu ích và giúp bạn tiết kiệm thời gianBạn có thể vui lòng tắt trình chặn quảng cáo ❤️ để hỗ trợ chúng tôi duy trì hoạt động của trang web.tắt trình chặn quảng cáo ❤️ để hỗ trợ chúng tôi duy trì hoạt động của trang web. Lập Trình PHP |