Bagaimanakah Saya Boleh Menggunakan Sambungan `mysql_` dengan Selamat dalam PHP untuk Mencegah Suntikan SQL dan Meningkatkan Keselamatan Kod?

Panduan Komprehensif untuk Meningkatkan Keselamatan Kod MySQL

Pengenalan

mysql_ sambungan, walaupun masih biasa digunakan, sering memperkenalkan kelemahan dalam kod PHP kerana tidak betul pengendalian input pengguna dan pelaporan ralat. Artikel ini bertujuan untuk membentangkan sampel kod yang selamat dan cekap yang mempamerkan penggunaan fungsi mysql_ yang betul.

Sampel Kod

<?php

// Set HTTP headers for character encoding
header('Content-type: text/html; charset=utf-8');

// Enable error reporting for development and testing
error_reporting(E_ALL | E_STRICT);
ini_set('display_errors', 1);
// In production, set 'display_errors' to 0 to suppress PHP error messages

// Database configuration (modify as needed)
$config = [
    'host' => '127.0.0.1',
    'user' => 'my_user',
    'pass' => 'my_pass',
    'db' => 'my_database'
];

// Connect to the database and disable MySQL error output
$connection = @mysql_connect($config['host'], $config['user'], $config['pass']);
if (!$connection) {
    trigger_error('Unable to connect to database: ' . mysql_error(), E_USER_ERROR);
}

// Select the database
if (!mysql_select_db($config['db'])) {
    trigger_error('Unable to select db: ' . mysql_error(), E_USER_ERROR);
}

// Set character encoding for the connection
if (!mysql_set_charset('utf8')) {
    trigger_error('Unable to set charset for db connection: ' . mysql_error(), E_USER_ERROR);
}

// Accept and sanitize POST values
$id = (int) $_POST['id']; // To prevent SQL injection
$name = mysql_real_escape_string($_POST['name']); // Protects against SQL injection

// Construct and execute the UPDATE query
$result = mysql_query(
    'UPDATE tablename SET name = "' . $name . '" WHERE id = "' . $id . '"'
);

// Check the result and provide feedback
if ($result) {
    echo htmlentities($name, ENT_COMPAT, 'utf-8') . ' updated.';
} else {
    trigger_error('Unable to update db: ' . mysql_error(), E_USER_ERROR);
}
?>

Secure Amalan Pengekodan

Sampel kod ini menangani amalan pengekodan berikut kepada tingkatkan keselamatan:

• SQL Injection Prevention: Nilai POST 'id' dan 'name' dibersihkan dan disahkan sebelum digunakan dalam pertanyaan.
• Pelaporan Ralat: Mesej ralat terperinci dihalang dalam mod pengeluaran untuk mengelakkan maklumat sensitif daripada terdedah. Walau bagaimanapun, ralat masih dilog untuk tujuan penyahpepijatan.
• Sokongan Unikod: Pengekodan aksara sambungan pangkalan data ditetapkan kepada 'utf8' untuk memastikan pengendalian aksara khas yang betul.
• Perbandingan Longgar: Klausa WHERE menggunakan perbandingan longgar dengan pembolehubah requestId, yang lebih mudah dibaca dan kurang terdedah kepada ralat.

Kesimpulan

Dengan mengikuti amalan ini, kami boleh mencipta pertanyaan pangkalan data yang selamat dan boleh dipercayai menggunakan sambungan mysql_. Walaupun PDO ialah pendekatan yang disyorkan untuk aplikasi PHP baharu, sampel kod ini menyediakan asas yang kukuh untuk menggunakan fungsi mysql_ dengan selamat apabila perlu.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan Sambungan `mysql_` dengan Selamat dalam PHP untuk Mencegah Suntikan SQL dan Meningkatkan Keselamatan Kod?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!