Wie kann ich MySQL-Abfragen in PHP mithilfe vorbereiteter Anweisungen sichern?

Sichere vorbereitete MySQL-Anweisungen in PHP

Vorbereitete Anweisungen erhöhen die Sicherheit von Datenbankabfragen, indem sie SQL-Injection-Angriffe verhindern. Sie ersetzen vom Benutzer bereitgestellte Werte als Bindungsparameter und stellen so sicher, dass kein Schadcode direkt ausgeführt wird.

Um eine sichere vorbereitete Anweisung zu erstellen, befolgen Sie diese Schritte:

1. Erstellen Sie eine Datenbankverbindung:Verwenden Sie mysqli_connect(), um eine Verbindung zur Datenbank herzustellen.
2. Bereiten Sie die vor Abfrage: Erstellen Sie eine vorbereitete Anweisung mit mysqli_prepare(). Stellen Sie der Abfrage Platzhalter für vom Benutzer bereitgestellte Werte zur Verfügung.
3. Bindungsparameter: Rufen Sie mysqli_stmt_bind_param() auf, um die Datentypen der Bindungsparameter anzugeben und die tatsächlichen Werte an die Platzhalter zu binden.
4. Abfrage ausführen:Führen Sie die vorbereitete Anweisung mit aus mysqli_stmt_execute().
5. Ergebnisse abrufen: Verarbeiten Sie die abgerufenen Ergebnisse nach Bedarf.

Hier ist ein Beispiel:

$stmt = $mysqli->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process the result row
}

$stmt->close();

BONUS: Geschwindigkeit Optimierung

Während vorbereitete Anweisungen normalerweise die Geschwindigkeit verbessern, hat die Häufigkeit ihrer Verwendung auf einer Seite keinen wesentlichen Einfluss auf die Gesamtgeschwindigkeitsoptimierung. Bei der Vorbereitung geht es in erster Linie um Sicherheit, nicht um Leistung.

Das obige ist der detaillierte Inhalt vonWie kann ich MySQL-Abfragen in PHP mithilfe vorbereiteter Anweisungen sichern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!