PDO में mysql_real_escape_string को बदलना

mysql_* से PDO में संक्रमण की प्रक्रिया में, आपको mysql_real_escape_string के सीधे समकक्ष की अनुपस्थिति के साथ एक दुविधा का सामना करना पड़ सकता है।

कोई प्रत्यक्ष समकक्ष नहीं

तकनीकी रूप से, PDO::quote() है, लेकिन इसका उपयोग सीमित है। सच्चा समाधान तैयार किए गए कथनों के सही कार्यान्वयन में निहित है। अतिरिक्त पलायन की आवश्यकता. तैयार किए गए स्टेटमेंट इनपुट पैरामीटर्स को प्लेसहोल्डर्स से जोड़ते हैं, जिससे दुर्भावनापूर्ण इनपुट को SQL कमांड के रूप में व्याख्या किए जाने से रोका जा सकता है। तैयार कथनों का उपयोग करके क्वेरी करें:

गलत, PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION ]); यदि ($_POST && isset($_POST['color'])) { $stmt = $db->तैयार करें ("उन कारों से आईडी, नाम, रंग चुनें जहां रंग = ?"); $stmt->निष्पादित(सरणी($_POST['रंग'])); $cars = $stmt->fetchAll(\PDO::FETCH_ASSOC); var_dump($कारें); } ?>

तैयार विवरण के लाभ

इनपुट से स्वचालित निकास

SQL इंजेक्शन की रोकथाम

 false,
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
]);
if ($_POST && isset($_POST['color'])) {
    $stmt = $db->prepare("SELECT id, name, color FROM Cars WHERE color = ?");
    $stmt->execute(array($_POST['color']));
    $cars = $stmt->fetchAll(\PDO::FETCH_ASSOC);
    var_dump($cars);
}
?>

अतिरिक्त विचार

• अतिरिक्त सुरक्षा के लिए DSN विशेषता में charset=utf8 का उपयोग करें।
• PDO अपवाद सक्षम करें (PDO) ::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION) त्रुटि प्रबंधन के लिए।
• पुराने MySQL संस्करणों (mysql

निष्कर्ष

पीडीओ में तैयार विवरण mysql_real_escape_string जैसे कार्यों की आवश्यकता के बिना डेटाबेस प्रश्नों के लिए एक मजबूत और सुरक्षित तंत्र प्रदान करते हैं। इस दृष्टिकोण को अपनाकर, आप SQL इंजेक्शन को प्रभावी ढंग से रोक सकते हैं और अपने डेटा की अखंडता को बनाए रख सकते हैं।