PDOs Ansatz zur Verhinderung von SQL-Injection

Wenn Sie von der MySQL-Bibliothek zu PDO gewechselt sind, fragen Sie sich vielleicht, wie Sie den real_escape_string ersetzen können Funktion zum Maskieren einfacher Anführungszeichen in Zeichenfolgen, die für Ihre Datenbank bestimmt sind. Während das Hinzufügen von Schrägstrichen zu jeder Zeichenfolge umständlich erscheinen mag, bietet PDO eine effizientere Alternative.

Die Leistungsfähigkeit von PDO Prepare

Zum Schutz vor SQL-Injection empfiehlt PDO die Verwendung von Prepare()-Methode. Diese Methode optimiert die Leistung Ihrer Anwendung, indem sie das Zwischenspeichern von Abfrageplänen und Metainformationen ermöglicht. Darüber hinaus ist keine manuelle Angabe von Parametern mehr erforderlich, wodurch SQL-Injection-Angriffe verhindert werden.

Wie PDO Prepare funktioniert

Wenn Sie PDO::prepare() ausführen, wird PDO erstellt eine vorbereitete Stellungnahme. Diese Anweisung wird dann kompiliert und zwischengespeichert, wodurch die Ausführungseffizienz verbessert wird. Wenn Sie bereit sind, die Abfrage mit Parametern auszuführen, rufen Sie PDOStatement::execute() auf, wodurch die Parameter in die vorbereitete Anweisung eingefügt werden, ohne dass manuelle Anführungszeichen erforderlich sind.

Beispielverwendung

Hier ist ein Beispiel für die Verwendung von PDO Prepare() und Execute():

$pdo = new PDO("...");
$sql = "INSERT INTO users (username, email) VALUES (?, ?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$username, $email]);

Durch die Verwendung von PDO Prepare() und Execute() können Sie parametrisierte Abfragen sicher ausführen, ohne dass manuelles String-Escape erforderlich ist. Dies vereinfacht Ihren Code und erhöht die Sicherheit, indem SQL-Injection-Angriffe verhindert werden.