Php MySQL准备的声明
我只是想知道是否有一种方法可以在MySQL中使用某种形式的预置语句,这样我就不必逃避所有输入,也不必将所有文件从MySQL切换到MySQLi。我真的不信任转义函数,因此,如果有任何替代方法可以在常规MySQL中工作,那就太好了。如果您不想处理转义输入,您可以在输入时始终对其进行模式匹配,然后发送预写语句。只有在可能执行的语句相对较少的情况下,这才真正值得付出努力。用于连接MySQL数据库。此方法将确保所有数据库输入始终被视为文本字符串,并且您不必进行任何手动转义 这与正确使用html_entities()来显示数据库中的数据相结合,是保护页面不被注入的可靠而好的方法。我总是使用PDO来处理项目中的所有数据库连接 创建数据库对象(在本例中,强制执行特定的字符编码): 然后像这样使用它:Php MySQL准备的声明,php,mysql,sql-injection,Php,Mysql,Sql Injection,我只是想知道是否有一种方法可以在MySQL中使用某种形式的预置语句,这样我就不必逃避所有输入,也不必将所有文件从MySQL切换到MySQLi。我真的不信任转义函数,因此,如果有任何替代方法可以在常规MySQL中工作,那就太好了。如果您不想处理转义输入,您可以在输入时始终对其进行模式匹配,然后发送预写语句。只有在可能执行的语句相对较少的情况下,这才真正值得付出努力。用于连接MySQL数据库。此方法将确保所有数据库输入始终被视为文本字符串,并且您不必进行任何手动转义 这与正确使用html_entit
$id = 1;
$q = $db->prepare('SELECT * FROM Table WHERE id = ?');
$q->execute(array($id));
$row = $q->fetch();
echo $row['Column_1'];
$search = 'John';
$q = $db->prepare('SELECT * FROM Table WHERE Column_1 LIKE ?');
$q->execute(array('%'.$search.'%'));
$num = $q->rowCount();
if ($num > 0) {
while ($row = $q->fetch()) {
echo $row['Column_1'];
}
} else {
echo "No hits!";
}
$q = $db->prepare('UPDATE Table SET Column_1 = ?, Column_2 = ? WHERE id = ?');
$q->execute(array('Value for Column_1','Value for Column_2',$id));
$search = 'John';
$q = $db->prepare('SELECT * FROM Table WHERE Column_1 LIKE ?');
$q->execute(array('%'.$search.'%'));
$num = $q->rowCount();
if ($num > 0) {
while ($row = $q->fetch()) {
echo $row['Column_1'];
}
} else {
echo "No hits!";
}