在 PHP 中创建安全的 MySQL 准备语句
强化 MySQL 查询以防止恶意输入对于维护数据完整性和防止 SQL 注入攻击至关重要。准备好的语句提供了一种有效的机制,通过清理传入的用户输入来实现此目的。
在您的特定情况下,您的目标是使用从 URL 参数派生的信息从表中获取列。为了确保此查询的安全,我们可以使用准备好的语句,如下所示:
$db = new mysqli("host","user","pw","database");
$stmt = $db->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();此语句完成以下任务:
关于潜在的速度增强,准备好的语句通常可以提高重复查询场景中的性能。然而,对于偶尔在单个页面上使用,影响可能可以忽略不计。
以上是如何使用 PHP 准备语句和 URL 参数从 MySQL 安全地获取数据?的详细内容。更多信息请关注PHP中文网其他相关文章!
