Sélection de déclaration préparée PHP
Jul 12, 2025 am 03:13 AM
L'exécution de requêtes sélectionnées à l'aide des instructions de prétraitement de PHP peut effectivement prévenir l'injection SQL et améliorer la sécurité. 1. Les instructions de prétraitement séparent la structure SQL des données, envoient d'abord des modèles, puis passent les paramètres pour éviter la falsification des entrées malveillantes avec la logique SQL; 2. Les extensions de PDO et MySQLI couramment utilisées dans PHP implémentent le prétraitement, parmi lesquelles PDO prend en charge plusieurs bases de données et syntaxe unifiée, adaptée aux débutants ou aux projets qui nécessitent une portabilité; 3. MySQLI est spécialement con?u pour MySQL, avec de meilleures performances mais moins de flexibilité; 4. Lorsque vous l'utilisez, vous devez sélectionner les espaces réservés appropriés (tels que? Ou les espaces réservés nommés) et lier les paramètres via EXECUTE () pour éviter l'épissage manuellement SQL; 5. Faites attention aux erreurs de traitement et aux résultats vides pour garantir la robustesse du code; 6. Fermer les ressources à temps après la requête pour améliorer la stabilité du programme. Les deux méthodes peuvent empêcher l'injection, et le choix dépend des besoins du projet et des préférences personnelles.
L'exécution de requêtes sélectionnées avec des instructions de prétraitement PHP est une pratique courante pour empêcher l'injection SQL et améliorer la sécurité de l'opération de base de données. Si vous avez épissé les cha?nes SQL directement pour l'interrogation, il est recommandé de passer à une instruction préparée dès que possible.
Que sont les déclarations de prétraitement?
Les instructions préparées sont un mécanisme pour séparer la structure et les données des instructions SQL. Il envoie d'abord un modèle SQL avec des espaces réservés à la base de données, puis transmet la valeur et s'exécute après que les paramètres sont prêts. Cette méthode "compiler d'abord puis de passer par les paramètres" peut effectivement prévenir les attaques d'injection SQL, et peut également améliorer l'efficacité de l'exécution de requêtes similaires plusieurs fois.
Dans PHP, deux extensions de base de données couramment utilisées prennent en charge les instructions de prétraitement: PDO et MySQLI. Ce qui suit expliquera comment les utiliser pour sélectionner séparément les requêtes.
Effectuez une requête sélectionnée avec le prétraitement en utilisant PDO
L'OPD est une prise en charge plus générale pour plusieurs extensions de base de données, une syntaxe unifiée et est recommandée pour les débutants ou ceux qui veulent un code plus portable.
Les étapes de base sont les suivantes:
- Connectez-vous à la base de données
- Préparer les instructions SQL
- Lier les paramètres (facultatif)
- Exécuter une requête
- Obtenir des résultats
Exemple de code:
$ host = '127.0.0.1';
$ db = 'test_db';
$ user = 'root';
$ pass = '';
$ charse = 'utf8mb4';
$ dsn = "mysql: host = $ host; dbname = $ db; charset = $ starset";
$ opt = [
PDO :: att_errMode => PDO :: errmode_exception,
PDO :: att_default_fetch_mode => PDO :: fetch_assoc
]]
$ PDO = new PDO ($ dsn, $ utilisateur, $ pass, $ opt);
$ stmt = $ PDO-> Préparer ('Sélectionner ID, nom, e-mail dans les utilisateurs où id =?');
$ stmt-> exécuter ([$ _ get ['id']]);
$ user = $ stmt-> fetch ();
if ($ user) {
echo 'id:'. $ utilisateur ['id']. '<br>';
Echo 'Nom:'. $ utilisateur ['name']. '<br>';
Echo 'Courriel:'. $ utilisateur ['e-mail'];
} autre {
écho ?l'utilisateur n'existe pas?;
}Quelques notes:
-
?est un espace réservé, adapté aux paramètres de passage dans l'ordre. - Vous pouvez également utiliser un espace réservé nommé tel que
:id, puis lier viabindParam()ouexecute([':id' => $_GET['id']]). - N'épissiez pas manuellement les variables en cha?nes SQL, sinon elle perdra le sens de la prévention de l'injection.
Effectuez une requête sélectionnée avec le prétraitement à l'aide de mysqli
MySQLI est une extension con?ue spécifiquement pour MySQL, avec des performances légèrement meilleures, mais pas aussi flexibles que l'APD.
Voici un exemple simple de l'approche orientée objet:
$ mysqli = new mysqli ('localhost', 'root', '', 'test_db');
if ($ mysqli-> connect_error) {
Die ('Connexion a échoué:'. $ mysqli-> connect_error);
}
$ stmt = $ mysqli-> Préparer ('sélectionner ID, nom, e-mail chez les utilisateurs où id =?');
$ stmt-> bind_param ('i', $ id);
$ id = $ _get ['id'];
$ stmt-> execute ();
$ result = $ stmt-> get_result ();
if ($ row = $ result-> fetch_assoc ()) {
echo 'id:'. $ row ['id']. '<br>';
Echo 'Nom:'. $ row ['name']. '<br>';
Echo 'Courriel:'. $ row ['e-mail'];
} autre {
écho ?l'utilisateur n'existe pas?;
}
$ stmt-> close ();
$ mysqli-> close ();Notes:
- L'identifiant de type dans
bind_param()doit être correct, tel que'i'représente un entier et's'représente une cha?ne. - Si vous n'êtes pas s?r du type d'entrée, vous pouvez d'abord effectuer une vérification ou une conversion.
- N'oubliez pas de fermer les déclarations et de connecter les ressources. Bien que PHP se libére automatiquement à la fin du script, c'est une bonne habitude de le fermer explicitement.
Quelle méthode est la meilleure?
Il n'y a pas de réponse absolue à cette question, selon les besoins de votre projet et les préférences personnelles:
- Si vous devez être compatible avec plusieurs bases de données ou comme une écriture concise et unifiée, utilisez PDO .
- Si vous utilisez uniquement MySQL et que vous poursuivez les performances ultimes, vous pouvez utiliser MySQLI .
- Les deux prennent en charge le prétraitement et peuvent prévenir efficacement l'injection de SQL.
De plus, quelle que soit la méthode utilisée, vous devez prêter attention aux points suivants:
- N'épissiez pas directement les paramètres dans SQL
- Le traitement des erreurs doit être effectué après la requête, comme Try Catch ou si pour juger la valeur de retour
- Si le résultat de la requête est vide, il doit également être géré pour éviter les erreurs.
Fondamentalement, c'est tout. Le prétraitement n'est en fait pas compliqué, mais il est facile d'ignorer les détails et de conduire à des problèmes de sécurité. écrivez simplement selon le modèle ci-dessus et vous pouvez écrire un code plus robuste.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Comment mettre à niveau la version PHP?
Jun 27, 2025 am 02:14 AM
La mise à niveau de la version PHP n'est en fait pas difficile, mais la clé réside dans les étapes de fonctionnement et les précautions. Voici les méthodes spécifiques: 1. Confirmez la version PHP actuelle et l'environnement d'exécution, utilisez la ligne de commande ou le fichier phpinfo.php à afficher; 2. Sélectionnez la nouvelle version appropriée et installez-la. Il est recommandé de l'installer avec 8,2 ou 8,1. Les utilisateurs de Linux utilisent Package Manager et les utilisateurs de MacOS utilisent Homebrew; 3. Migrer les fichiers de configuration et les extensions, mettre à jour PHP.ini et installer les extensions nécessaires; 4. Testez si le site Web s'exécute normalement, vérifiez le journal des erreurs pour vous assurer qu'il n'y a pas de problème de compatibilité. Suivez ces étapes et vous pouvez terminer avec succès la mise à niveau dans la plupart des situations.
Comment empêcher les attaques de contrefa?on de demande croisée (CSRF) en PHP?
Jun 28, 2025 am 02:25 AM
TopreventcsrfattackSinPhp, implémentanti-csrftokens.1) GenerateAndStoreSecureToKensusingRandom_Bytes () Orbin2hex (Random_Bytes (32)), Savethemin $ _Session, et inclusetheminglycombaringthepostthentikwishswe
Guide débutant PHP: Explication détaillée de la configuration de l'environnement local
Jun 27, 2025 am 02:09 AM
Pour configurer un environnement de développement PHP, vous devez sélectionner les outils appropriés et installer correctement la configuration. ① L'environnement local PHP le plus basique nécessite trois composants: le serveur Web (Apache ou Nginx), le PHP lui-même et la base de données (comme MySQL / MARIADB); ② Il est recommandé que les débutants utilisent des packages d'intégration tels que XAMPP ou MAMP, ce qui simplifie le processus d'installation. XAMPP convient aux fenêtres et aux macOS. Après l'installation, les fichiers du projet sont placés dans le répertoire HTDOCS et accessibles via LocalHost; ③Mamp convient aux utilisateurs Mac et prend en charge la commutation pratique des versions PHP, mais la version gratuite a des fonctions limitées; ④ Les utilisateurs avancés peuvent les installer manuellement par Homebrew, dans les systèmes MacOS / Linux
Comment combiner deux tableaux PHP uniques?
Jul 02, 2025 pm 05:18 PM
Pour fusionner deux tableaux PHP et conserver des valeurs uniques, il existe deux méthodes principales. 1. Pour les réseaux d'index ou uniquement la déduplication, utilisez Array_merge et Array_Unique Combinaisons: First Merge Array_merge ($ array1, $ array2), puis utilisez Array_Unique () pour les dédupliquer pour enfin obtenir un nouveau tableau contenant toutes les valeurs uniques; 2. Pour les tableaux associatifs et souhaitez conserver les paires de valeurs clés dans le premier tableau, utilisez l'opérateur: $ result = $ array1 $ array2, ce qui garantira que les clés du premier tableau ne seront pas écrasées par le deuxième tableau. Ces deux méthodes s'appliquent à des scénarios différents, selon que le nom de clé est conservé ou que l'accent est mis sur
Comment utiliser la fonction de sortie PHP?
Jul 03, 2025 am 02:15 AM
Exit () est une fonction de PHP qui est utilisée pour terminer l'exécution du script immédiatement. Les utilisations courantes incluent: 1. Terminez le script à l'avance lorsqu'une exception est détectée, comme le fichier n'existe pas ou que la vérification échoue; 2. Résultats intermédiaires de sortie pendant le débogage et l'arrêt de l'exécution; 3. Appelez Exit () après la redirection en conjonction avec Header () pour empêcher l'exécution de code ultérieure; De plus, Out () peut accepter les paramètres de cha?ne en tant que contenu de sortie ou entiers comme code d'état, et son alias est DIE ().
Application de la structure sémantique avec article, section et mis à part en HTML
Jul 05, 2025 am 02:03 AM
L'utilisation rationnelle des balises sémantiques dans HTML peut améliorer la clarté de la structure des pages, l'accessibilité et les effets SEO. 1. Utilisé pour des blocs de contenu indépendants, tels que des articles de blog ou des commentaires, il doit être autonome; 2. Utilisé pour le contenu lié à la classification, incluant généralement des titres, et convient à différents modules de la page; 3. Utilisé pour les informations auxiliaires liées au contenu principal mais pas au c?ur, telles que les recommandations de barres latérales ou les profils d'auteur. Dans le développement réel, les étiquettes doivent être combinées et autres, éviter une nidification excessive, garder la structure simple et vérifier la rationalité de la structure via les outils du développeur.
Comment accéder aux données de session en PHP?
Jun 30, 2025 am 01:33 AM
Pour accéder aux données de la session dans PHP, vous devez d'abord démarrer la session, puis fonctionner via le tableau hyperglobal $ _Session. 1. La session doit être démarrée à l'aide de session_start (), et la fonction doit être appelée avant toute sortie; 2. Lorsque vous accédez aux données de session, vérifiez si la clé existe. Vous pouvez utiliser isset ($ _ session ['key']) ou array_key_exists ('key', $ _ session); 3. Définir ou mettre à jour les variables de session doivent seulement attribuer des valeurs au tableau $ _Session sans enregistrer manuellement; 4. Effacer des données spécifiques avec unset ($ _ session ['key']), effacez toutes les données et définissez $ _Session sur un tableau vide.
Quelles sont les fonctions récursives en PHP?
Jun 29, 2025 am 02:02 AM
Les fonctions récursives se réfèrent aux fonctions de l'auto-entour dans PHP. Les éléments centraux sont 1. Définition des conditions de terminaison (exemples de base), 2. Décomposant le problème et s'appelant récursivement (exemples récursifs). Il convient à la gestion des structures hiérarchiques, à la démonstration de sous-problèmes en double ou à l'amélioration de la lisibilité du code, tel que le calcul de la factorielle, la traversée des répertoires, etc. Cependant, il est nécessaire de prêter attention aux risques de consommation de mémoire et de débordement de pile. Lors de l'écriture, les conditions de sortie doivent être clarifiées, les exemples de base doivent être progressivement approchés, les paramètres redondants doivent être évités et de petites entrées doivent être testées. Par exemple, lors de la numérisation d'un répertoire, la fonction rencontre un sous-répertoire et s'appelle récursivement jusqu'à ce que tous les niveaux soient traversés.
