PDO के साथ एस्केपिंग स्ट्रिंग्स

Mysql लाइब्रेरी से PDO में संक्रमण करते समय, एक सामान्य प्रश्न real_escape_string फ़ंक्शन के प्रतिस्थापन के संबंध में होता है। यह लेख पीडीओ का उपयोग करके स्ट्रिंग्स से बचने के लिए अनुशंसित दृष्टिकोण पर प्रकाश डालेगा। यह फ़ंक्शन आपको एक तैयार कथन बनाने की अनुमति देता है जिसे विभिन्न पैरामीटर मानों के साथ कई बार निष्पादित किया जा सकता है। तैयार स्टेटमेंट का उपयोग करके, आप SQL इंजेक्शन हमलों को रोक सकते हैं और अपने एप्लिकेशन के प्रदर्शन को अनुकूलित कर सकते हैं।

तैयार स्टेटमेंट कैसे काम करते हैं

PDO द्वारा तैयार स्टेटमेंट SQL क्वेरी को उसके मापदंडों से अलग करके काम करते हैं। यह पीडीओ ड्राइवर को स्टेटमेंट के लिए क्वेरी प्लान और मेटा जानकारी को अनुकूलित करने की अनुमति देता है। जब आप तैयार कथन निष्पादित करते हैं, तो आप पैरामीटर मानों को एक सरणी के रूप में प्रदान करते हैं। पीडीओ स्वचालित रूप से इन मानों को उद्धृत करेगा और इससे बच जाएगा, जिससे मैन्युअल स्ट्रिंग उद्धरण की आवश्यकता समाप्त हो जाएगी। &&&]$कथन = $pdo->तैयार करें('उपयोगकर्ताओं (नाम, ईमेल) में मूल्य डालें (:नाम, :ईमेल)'); $कथन->bindParam(':name', $name); $कथन->bindParam(':email', $email); $statement->execute();

इस उदाहरण में, तैयार कथन निष्पादित होने पर :name और :email प्लेसहोल्डर्स को निर्दिष्ट पैरामीटर मानों से बदल दिया जाता है। डेटाबेस में डालने से पहले पीडीओ स्वचालित रूप से इन मानों से बच जाएगा, एसक्यूएल इंजेक्शन को रोक देगा।

निष्कर्ष

पीडीओ प्रिपेयर का उपयोग करके, आप आसानी से स्ट्रिंग्स से बच सकते हैं और एसक्यूएल इंजेक्शन हमलों को रोक सकते हैं। यह दृष्टिकोण सुरक्षित और कुशल दोनों है, जो आपके पीडीओ प्रश्नों के प्रदर्शन को अनुकूलित करता है।