Declaraciones preparadas de MySQL: garantice la seguridad de los datos con PDO

¿Le preocupan las funciones de escape y las vulnerabilidades de inyección de SQL en sus aplicaciones MySQL? Es posible que la función de declaraciones preparadas de MySQL no esté disponible, pero eso no significa que deba comprometer la seguridad.

PDO: una alternativa segura

Objetos de datos PHP ( PDO) es una poderosa biblioteca que proporciona una interfaz consistente para interactuar con bases de datos. Con PDO, puede conectarse a su base de datos MySQL y tratar todas las entradas de la base de datos como cadenas de texto, eliminando la necesidad de escape manual.

Conectarse a MySQL con PDO

Para comience a usar PDO, cree un objeto de base de datos como este:

$db = new PDO("mysql:host=[hostname];dbname=[database]", '[username]', '[password]');

Establezca la codificación de caracteres en UTF-8:

$db->setAttribute(PDO::MYSQL_ATTR_INIT_COMMAND, "SET NAMES utf8");
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->exec('SET NAMES utf8');

Ejecutando declaraciones preparadas

Con el objeto de base de datos establecido, ahora puede ejecutar declaraciones preparadas:

• Seleccione consulta:

$id = 1;
$q = $db->prepare('SELECT * FROM Table WHERE id = ?');
$q->execute(array($id));

• Consulta de actualización:

$q = $db->prepare('UPDATE Table SET Column_1 = ?, Column_2 = ? WHERE id = ?');
$q->execute(array('Value for Column_1', 'Value for Column_2', $id));

• Búsqueda con comodines:

$search = 'John';
$q = $db->prepare('SELECT * FROM Table WHERE Column_1 LIKE ?');
$q->execute(array('%'.$search.'%'));

Conclusión

Utilizando PDO y declaraciones preparadas, puede mejorar la seguridad de sus aplicaciones MySQL mitigando los riesgos de inyección SQL. Con su interfaz simplificada y sólidas funciones de seguridad, PDO es una herramienta indispensable para proteger su base de datos contra ataques maliciosos.