SQL에서 준비된 문에 LIKE '%{Var}%'를 어떻게 안전하게 사용할 수 있나요?

LIKE '%{Var}%'를 사용하여 준비된 문을 효과적으로 활용하기

SQL 쿼리에서 삭제된 사용자 입력으로 작업할 때 권장됩니다. SQL 주입 공격의 위험을 완화하기 위해 준비된 명령문을 사용합니다. 그러나 준비된 문에 LIKE '%{Var}%' 패턴을 사용하면 문제가 발생할 수 있습니다.

잘못된 접근 방식:

다음 구문은 오류를 생성합니다.

$sql = 'SELECT * FROM `users` WHERE username LIKE \'%{?}%\' ';

$sql = 'SELECT * FROM `users` WHERE username LIKE %{?}% ';

맞습니다 접근 방식:

준비된 문에서 LIKE '%{Var}%'를 올바르게 사용하려면 다음 단계를 따르세요.

1. LIKE 패턴을 저장할 문자열 변수를 만듭니다.

$likeVar = "%" . $ yourParam . "%";

2. 다음을 사용하여 쿼리를 준비합니다. 자리 표시자:

$ stmt = $ mysqli -> prepare('SELECT * FROM REGISTRY WHERE name LIKE ?');

3. LIKE 변수를 자리 표시자에 바인딩합니다.

$stmt -> bind_param('s', $likeVar);

4. 다음을 실행합니다. 쿼리:

$stmt -> execute();

설명:

• $likeVar: 이 변수에는 사용자 제공 매개변수의 접두사와 접미사가 붙은 LIKE 패턴이 포함되어 있습니다. 와일드카드.
• prepare() 대 query(): prepare()는 다양한 매개변수를 사용하여 여러 번 실행할 수 있는 명령문 객체를 생성하는 반면, query()는 쿼리를 직접 실행합니다.
• bind_param(): 이 메소드는 준비된 명령문 매개변수를 해당 변수 값과 연결합니다. 이 경우 자리 표시자(?)는 $likeVar에 바인딩됩니다.
• execute(): 매개 변수가 바인딩되면 Execute()는 지정된 매개 변수를 사용하여 쿼리를 실행합니다.

이 단계를 따르면 보안 모범 사례를 유지하면서 SQL 쿼리에 LIKE '%{Var}%'를 안전하게 사용할 수 있습니다.

위 내용은 SQL에서 준비된 문에 LIKE '%{Var}%'를 어떻게 안전하게 사용할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!