Prétraitement de mysqli en PHP préparer

不言
Libérer: 2023-04-02 12:36:01
original
2638 Les gens l'ont consulté

Cet article présente principalement la préparation du prétraitement pour le fonctionnement de mysqli en PHP. Il a une certaine valeur de référence. Maintenant, je le partage avec vous. Les amis dans le besoin peuvent s'y référer

Le fonctionnement de mysqli en PHP. Préparation du prétraitement

1. [Erreur PHP] Impossible de transmettre le paramètre 2 par référence

Cette erreur signifie que le deuxième paramètre ne peut pas être transmis par référence
La raison de cette erreur est bind_param Sauf pour le premier paramètre représentant le type de données,
dans la méthode () nécessite l'utilisation de variables au lieu de quantités directes, car les autres paramètres sont passés par référence

$sql = "select * from tmp where myname=? or sex =?";
$stmt = $mysqli->conn->prepare($sql);
$name ="a";
$sex="b";
$stmt->bind_param('ss',$name,$sex);//必须要这样传参,且在mysqli等的预处理参数绑定中,必须要指定参数的类型且只能一次性绑定全部参数,不能像PDO那样一个个绑定

//$stmt->bind_param('ss',"a","b");
//这种方式的会报错:Fatal error: Cannot pass parameter 2 by reference$stmt->execute();
if($mysqli->conn->affected_rows){    
$result = $stmt->get_result();    
while($row = $result->fetch_assoc()){        
var_dump($row);
    }
}
Copier après la connexion

2. utilisez addlashes et mysql_real_escape_string en PHP pour empêcher l'injection SQL

Que vous utilisiez addlashes ou mysql_real_escape_string, vous pouvez utiliser des vulnérabilités de codage pour vous connecter en entrant n'importe quel mot de passe d'attaque par injection de serveur ! ! ! ! (Je n'entrerai pas dans les détails sur le principe de l'attaque. Les étudiants intéressés peuvent étudier les problèmes mono-octets et multi-octets dans le codage des caractères)

🎜>La raison pour laquelle mysql_real_escape_string peut empêcher l'injection est que mysql_escape_string lui-même ne peut pas déterminer l'encodage actuel. Vous devez spécifier l'encodage du serveur et celui du client en même temps. En l'ajoutant, vous pouvez empêcher l'injection de problèmes d'encodage. Bien que l'injection SQL puisse être évitée dans une certaine mesure, la solution parfaite suivante est toujours recommandée.

La solution parfaite est d'utiliser PDO et MYSQLi avec le mécanisme Prepared Statement au lieu de mysql_query (Remarque : mysql_query est obsolète depuis PHP 5.5.0 et sera supprimé à l'avenir) :

PDO :

  1. $pdo = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
     
    $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
    $stmt->execute(array('name' => $name));
     
    foreach ($stmt as $row) {
    // do something with $row
    Copier après la connexion

MYSQLI :

  1. $stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
    $stmt->bind_param('s', $name);
     
    $stmt->execute();
     
    $result = $stmt->get_result();
    while ($row = $result->fetch_assoc()) {
    // do something with $row
    }
    Copier après la connexion
    Copier après la connexion

PDO :

$pdo = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');

$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);


$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');


$stmt->execute(array('name' => $name));

 


foreach ($stmt as $row) {


// do something with $row


}
Copier après la connexion

MYSQLi :

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
 
$stmt->execute();
 
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
Copier après la connexion
Copier après la connexion
Cette erreur signifie que le deuxième paramètre ne peut pas être passé par référence.

La raison de cette erreur est qu'à l'exception du premier paramètre représentant le type de données dans la méthode bind_param(),
nécessite l'utilisation de variables au lieu de quantités directes. , car d'autres paramètres sont transmis par référence

Ce qui précède est l'intégralité du contenu de cet article. J'espère qu'il sera utile à l'apprentissage de chacun. Pour plus de contenu connexe, veuillez faire attention au site Web PHP chinois !

Recommandations associées :

Comment PHP détermine si un lien est valide

Interaction entre PHP et les pages Web

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal