> 데이터 베이스 > MySQL 튜토리얼 > 보안 데이터베이스 상호 작용을 위해 오래된 `mysql_*` 함수를 PDO 및 준비된 명령문으로 바꾸는 방법은 무엇입니까?

보안 데이터베이스 상호 작용을 위해 오래된 `mysql_*` 함수를 PDO 및 준비된 명령문으로 바꾸는 방법은 무엇입니까?

Linda Hamilton
풀어 주다: 2024-11-06 13:42:02
원래의
390명이 탐색했습니다.

How to Replace Outdated `mysql_*` Functions with PDO and Prepared Statements for Secure Database Interactions?

mysql_* 함수를 PDO 및 준비된 명령문으로 교체

질문:

오래된 mysql_* 함수를 다음으로 어떻게 교체할 수 있습니까? 데이터베이스에서 데이터를 안전하게 저장하고 검색하기 위한 PDO 및 준비된 문이 있습니까?

답변:

  1. PDO 연결 설정:
$hostname = '*host*';
$username = '*user*';
$password = '*pass*';
$database = '*database*';

$dbh = new PDO("mysql:host=$hostname;dbname=$database", $username, $password);
로그인 후 복사
  1. 데이터 삽입을 위해 준비된 문 사용:
$username = $_POST['username'];
$email = $_POST['email'];

$stmt = $dbh->prepare("INSERT INTO `users` (username, email)
                        VALUES (?, ?)");

$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->bindParam(2, $email, PDO::PARAM_STR);

$stmt->execute();
로그인 후 복사
  1. BindParam의 길이 매개변수:

PDO::PARAM_STR에는 길이 매개변수가 필요하지 않습니다. 그러나 데이터베이스 테이블의 필드에 대한 최대 문자 제한이 있는 경우 아래와 같이 PDO::PARAM_STR 뒤에 이를 지정할 수 있습니다.

$stmt->bindParam(1, $username, PDO::PARAM_STR, 255);
로그인 후 복사
  1. 데이터 검색을 위해 준비된 명령문 :
$user_id = $_GET['id'];

$stmt = $dbh->prepare("SELECT * FROM `users` WHERE `id` = ?");

$stmt->bindParam(1, $user_id, PDO::PARAM_INT);
로그인 후 복사
  1. 다양한 데이터 유형에 대해 bindParam 사용:
  • 문자열의 경우 PDO::PARAM_STR
  • 정수용 PDO::PARAM_INT
  • 부울용 PDO::PARAM_BOOL
  1. 안전성:
  • 준비된 명령문을 사용하면 mysql_real_escape_string과 같은 함수를 사용하여 수동으로 문자열을 이스케이프할 필요가 없습니다.
  • PDO는 쿼리 실행을 안전하게 처리하여 SQL 주입 취약점을 방지합니다.
  • 그러나 주의해야 할 사항은 다음과 같습니다. 준비된 진술만으로는 보안이 보장되지 않습니다. 입력 검증 및 적절한 삭제 조치는 여전히 구현되어야 합니다.

위 내용은 보안 데이터베이스 상호 작용을 위해 오래된 `mysql_*` 함수를 PDO 및 준비된 명령문으로 바꾸는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿