準備済みステートメントを使用して PHP で MySQL クエリを保護するにはどうすればよいですか?

PHP の安全な MySQL プリペアド ステートメント

プリペアド ステートメントは、SQL インジェクション攻撃を防止することでデータベース クエリのセキュリティを強化します。ユーザーが指定した値をバインド パラメーターとして置き換え、悪意のあるコードが直接実行されないようにします。

安全なプリペアド ステートメントを作成するには、次の手順に従います。

1. データベース接続: mysqli_connect() を使用してデータベースに接続します。
2. クエリ: mysqli_prepare() を使用して準備済みステートメントを作成します。ユーザー指定の値のプレースホルダーをクエリに提供します。
3. バインド パラメーター: mysqli_stmt_bind_param() を呼び出してバインド パラメーターのデータ型を指定し、実際の値をプレースホルダーにバインドします。
4. クエリを実行します: 実行mysqli_stmt_execute() を使用した準備済みステートメント。
5. 結果の取得: 必要に応じて、取得した結果を処理します。

例を示します:

$stmt = $mysqli->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process the result row
}

$stmt->close();

ボーナス: スピード最適化

準備されたステートメントは通常速度を向上させますが、ページ上での使用回数は全体的な速度の最適化に大きな影響を与えません。準備は主にセキュリティのためのものであり、パフォーマンスのためのものではありません。

以上が準備済みステートメントを使用して PHP で MySQL クエリを保護するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。