PHPの前処理ステートメントを使用した選択クエリの実行は、SQLインジェクションを効果的に防止し、セキュリティを改善できます。 1.プリプロセシングステートメントSQL構(gòu)造をデータから分離し、最初にテンプレートを送信してからパラメーターを渡して、SQLロジックのタンパーを避けないようにパラメーターを渡します。 2。PDOおよびMySqliの拡張機(jī)能は、PHP実裝前処理で一般的に使用されています。その中には、PDOは、攜帯性を必要とする初心者やプロジェクトに適した複數(shù)のデータベースと統(tǒng)一構(gòu)文をサポートしています。 3。MySQLIはMySQL向けに特別に設(shè)計されており、パフォーマンスが向上しますが柔軟性が低くなります。 4.使用する場合は、適切なプレースホルダー（？または名前付きプレースホルダーなど）を選択し、execute（）を使用してパラメーターをバインドして、手動でSQLをスプライシングしないようにします。 5.コードの堅牢性を確保するために、エラーと空の結(jié)果に注意してください。 6.プログラムの安定性を改善するために、クエリ後に時間內(nèi)にリソースを閉じます。どちらの方法でも注入を防ぐことができ、選択はプロジェクトのニーズと個人的な好みに依存します。

PHPの前処理ステートメントで選択したクエリを?qū)g行することは、SQLインジェクションを防ぎ、データベースの操作セキュリティを改善するための一般的な慣行です。クエリのためにSQL文字列を直接スプライした場合は、できるだけ早く準(zhǔn)備されたステートメントに変更することをお勧めします。

前処理ステートメントとは何ですか？

準(zhǔn)備されたステートメントは、SQLステートメント構(gòu)造とデータを分離するメカニズムです。最初にプレースホルダーを含むSQLテンプレートをデータベースに送信し、次にパラメーターの準(zhǔn)備ができた後に値を渡して実行します。この「最初にコンパイルしてからパラメーターのパス」メソッドは、SQLインジェクション攻撃を効果的に防ぐことができ、同様のクエリを複數(shù)回実行する効率を改善することもできます。

PHPでは、2つの一般的に使用されるデータベース拡張機(jī)能は、PDOとMySqliの前処理ステートメントをサポートしています。以下は、選択したクエリに個別に使用する方法を説明します。

PDOを使用して前処理で選択クエリを?qū)g行します

PDOは、複數(shù)のデータベース拡張機(jī)能、統(tǒng)一された構(gòu)文のより一般的なサポートであり、初心者やポータブルコードを必要とする人に推奨されます。

基本的な手順は次のとおりです。

• データベースに接続します
• SQLステートメントを準(zhǔn)備します
• バインドパラメーター（オプション）
• クエリを?qū)g行します
• 結(jié)果を取得します

サンプルコード：

 $ host = '127.0.0.1';
$ db = 'test_db';
$ user = 'root';
$ pass = '';
$ charset = 'utf8mb4';

$ dsn = "mysql：host = $ host; dbname = $ db; charset = $ charset";
$ opt = [
    pdo :: attr_errmode => pdo :: errmode_exception、
    pdo :: attr_default_fetch_mode => pdo :: fetch_assoc
];
$ pdo = new PDO（$ dsn、$ user、$ pass、$ opt）;

$ stmt = $ pdo-> prepare（ 'id、name、email from users where id =？'）;
$ stmt-> execute（[$ _ get ['id']]）;
$ user = $ stmt-> fetch（）;

if（$ user）{
    echo &#39;id：&#39;。 $ user [&#39;id&#39;]。 &#39;<br>&#39;;
    echo &#39;name：&#39;。 $ user [&#39;name&#39;]。 &#39;<br>&#39;;
    echo &#39;email：&#39;。 $ user [&#39;email&#39;];
} それ以外 {
    エコー「ユーザーは存在しません」;
}

いくつかのメモ：

• ?プレースホルダーであり、パラメーターを順番に渡すのに適しています。
• また、次のような:id付きプレースホルダーを使用して、 bindParam()またはexecute([':id' => $_GET['id']])を介してバインドすることもできます。
• SQL文字列に手動で変數(shù)をスプライスしないでください。そうしないと、注射を防ぐという意味が失われます。

mysqliを使用して前処理で選択クエリを?qū)g行します

MySQLIは、MySQL専用に設(shè)計された拡張機(jī)能であり、パフォーマンスはわずかに優(yōu)れていますが、PDOほど柔軟ではありません。

これは、オブジェクト指向のアプローチの簡単な例です。

 $ mysqli = new mysqli（ 'localhost'、 'root'、 ''、 'test_db'）;

if（$ mysqli-> connect_error）{
    die（ '接続失敗：'。$ mysqli-> connect_error）;
}

$ stmt = $ mysqli-> prepare（ 'id、name、email from users where id =？'）;
$ stmt-> bind_param（ 'i'、$ id）;
$ id = $ _get ['id'];
$ stmt-> execute（）;
$ result = $ stmt-> get_result（）;

if（$ row = $ result-> fetch_assoc（））{
    echo &#39;id：&#39;。 $ row [&#39;id&#39;]。 &#39;<br>&#39;;
    echo &#39;name：&#39;。 $ row [&#39;name&#39;]。 &#39;<br>&#39;;
    echo &#39;email：&#39;。 $ row [&#39;email&#39;];
} それ以外 {
    エコー「ユーザーは存在しません」;
}

$ stmt-> close（）;
$ mysqli-> close（）;

注：

• bind_param()の型識別子は正しい必要があります。 'i'整數(shù)を表し、 's'文字列を表します。
• 入力タイプがわからない場合は、最初に確認(rèn)または変換を行うことができます。
• ステートメントを閉じてリソースを接続することを忘れないでください。 PHPはスクリプトの最後に自動的にリリースされますが、明示的に閉じることは良い習(xí)慣です。

どの方法が優(yōu)れていますか？

プロジェクトのニーズと個人的な好みに応じて、この質(zhì)問に対する絶対的な答えはありません。

• 複數(shù)のデータベースと互換性がある場合、または簡潔で統(tǒng)一された文章のように互換性がある場合は、 PDOを使用してください。
• MySQLのみを使用して究極のパフォーマンスを追求する場合は、 MySQLIを使用できます。
• どちらも前処理をサポートし、SQL注射を効果的に防ぐことができます。

さらに、どの方法を使用しても、次のポイントに注意を払う必要があります。

• パラメーターを直接SQLにスプライスしないでください
• クエリ後にエラー処理を行う必要があります。
• クエリの結(jié)果が空の場合は、エラーを回避するためにも処理する必要があります。

基本的にそれだけです。事前処理は実際には複雑ではありませんが、詳細(xì)を無視してセキュリティの問題につながるのは簡単です。上記のパターンに従って書くだけで、より堅牢なコードを書くことができます。

以上がPHP準(zhǔn)備されたステートメント選択の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。