Dalam pembangunan web, menyambung ke pangkalan data adalah langkah penting. Dengan pembangunan PHP, sambungan PDO telah menjadi cara pilihan untuk menyambung ke pangkalan data kerana ia serasi dengan berbilang pangkalan data dan menyediakan pengendalian dan keselamatan ralat yang lebih baik.
Artikel ini akan memberikan pemahaman yang mendalam tentang keselamatan dan kecekapan pelaksanaan pernyataan yang disediakan PDO untuk membantu pembangun menggunakan PDO dengan lebih baik untuk menyambung ke pangkalan data.
Apabila menggunakan PDO untuk menyambung ke pangkalan data, terdapat dua pernyataan SQL yang biasa digunakan: pernyataan biasa dan pernyataan yang disediakan. Pernyataan biasa membenamkan pembolehubah terus ke dalam pernyataan SQL dan kemudian melaksanakannya. Contohnya:
$name = 'John'; $stmt = $pdo->query("SELECT * FROM users WHERE name = '$name'");
Kaedah ini mempunyai risiko suntikan SQL, kerana nilai pembolehubah $name boleh diubah suai oleh penggodam menjadi kod berniat jahat, menyebabkan pangkalan data diserang. Untuk mengelakkan risiko ini, kita boleh menggunakan penyata yang disediakan oleh PDO.
Pernyataan yang disediakan ialah cara memproses pernyataan SQL dan pembolehubah secara berasingan. Mula-mula, kami menyediakan pernyataan SQL dan pemegang tempat, sebagai contoh:
$stmt = $pdo->prepare("SELECT * FROM users WHERE name = ?");
Antaranya, ?
ialah pemegang tempat, yang bermaksud kami ingin lulus dalam pembolehubah apabila membuat pertanyaan. Seterusnya, kami mengikat pembolehubah yang ingin kami hantarkan kepada pemegang tempat, contohnya:
$name = 'John'; $stmt->bindValue(1, $name);
di mana parameter pertama ialah kedudukan pemegang tempat, dan parameter kedua ialah pembolehubah yang ingin kami hantar. . Akhir sekali, kami melaksanakan pernyataan yang disediakan:
$stmt->execute();
Dengan cara ini, pernyataan yang disediakan akan dengan selamat menghantar pembolehubah ke dalam pernyataan SQL untuk pertanyaan.
Menggunakan pernyataan yang disediakan oleh PDO dapat mengelakkan risiko suntikan SQL dengan berkesan, kerana pembolehubah yang kami luluskan tidak akan dibenamkan secara langsung dalam pernyataan SQL, tetapi melalui Passed in dengan mengikat kepada pemegang tempat. Penggodam tidak boleh mengubah suai lokasi dan bilangan ruang letak, dan mereka juga tidak boleh memasukkan kod SQL sewenang-wenangnya, jadi mereka tidak boleh menyerang pangkalan data.
Selain itu, kenyataan PDO yang disediakan juga boleh mengelakkan beberapa ralat yang tidak dijangka. Sebagai contoh, jika kita lulus jenis parameter haram dalam pernyataan yang disediakan, PDO akan membuang pengecualian semasa pelaksanaan dan bukannya melaksanakan pernyataan pertanyaan yang salah. Dengan cara ini kita boleh nyahpepijat dan menyelesaikan masalah ralat dengan lebih mudah.
Ringkasnya, menggunakan pernyataan PDO yang disediakan boleh meningkatkan keselamatan aplikasi dengan berkesan dan mengelakkan beberapa ralat yang tidak dijangka.
Walaupun kenyataan yang disediakan oleh PDO boleh meningkatkan keselamatan, kecekapan pelaksanaan tidak semestinya lebih tinggi. Kerana pernyataan yang disediakan perlu disediakan sebelum pelaksanaan, termasuk menyusun pernyataan SQL dan mengikat parameter kepada pemegang tempat. Langkah tambahan ini mengakibatkan beberapa kehilangan prestasi.
Walau bagaimanapun, apabila menggunakan pernyataan yang disediakan, jika kami melaksanakan pertanyaan yang sama beberapa kali, langkah penyediaan untuk setiap pelaksanaan boleh digunakan semula. Dengan cara ini, overhed berulang kali menyusun pernyataan SQL dan parameter mengikat boleh dielakkan, dengan itu meningkatkan kecekapan pelaksanaan.
Untuk menguji kecekapan pelaksanaan pernyataan yang disediakan oleh PDO, kami membina persekitaran ujian tempatan dan menggunakan fungsi masa mikro PHP untuk mengukur masa pelaksanaan. Keputusan ujian adalah seperti berikut (unit ialah saat):
测试次数 | 普通语句(直接执行) | 预处理语句 |
---|---|---|
100 | 0.447602 | 0.537466 |
1000 | 5.062787 | 1.517679 |
10000 | 51.042640 | 14.114032 |
Dapat dilihat bahawa apabila bilangan pelaksanaan adalah kecil, kecekapan pelaksanaan pernyataan biasa (pelaksanaan langsung) adalah lebih tinggi sedikit daripada kenyataan yang disediakan. Walau bagaimanapun, apabila bilangan pelaksanaan meningkat, kecekapan pelaksanaan kenyataan yang disediakan akan beransur-ansur melebihi kenyataan biasa, dan jurang akan menjadi lebih luas dan lebih luas. Apabila bilangan pelaksanaan ialah 10,000, kecekapan pelaksanaan kenyataan yang disediakan adalah kira-kira tiga kali ganda daripada kenyataan biasa.
Jadi, secara amnya, menggunakan pernyataan PDO yang disediakan boleh meningkatkan keselamatan aplikasi dan juga meningkatkan kecekapan pelaksanaan apabila melaksanakan pertanyaan yang sama beberapa kali.
Pernyataan yang disediakan oleh PDO ialah cara yang selamat dan cekap untuk memproses pernyataan SQL. Dengan mengendalikan pernyataan dan pembolehubah SQL secara berasingan, anda boleh mengelakkan risiko suntikan SQL dan mengelakkan beberapa ralat yang tidak dijangka. Walaupun kenyataan yang disediakan memerlukan kerja penyediaan tambahan, persediaan ini boleh digunakan semula apabila melaksanakan pertanyaan yang sama beberapa kali untuk meningkatkan kecekapan pelaksanaan.
Oleh itu, semasa membangunkan aplikasi web, adalah disyorkan untuk menggunakan pernyataan yang disediakan PDO untuk menyambung ke pangkalan data untuk memastikan keselamatan dan kecekapan aplikasi.
Atas ialah kandungan terperinci Menyambung ke pangkalan data menggunakan sambungan PDO PHP: Pemahaman mendalam tentang keselamatan dan kecekapan pelaksanaan kenyataan yang disediakan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!