SQL インジェクションを防ぐための PDO のアプローチ

mysql ライブラリから PDO に移行した場合は、real_escape_string をどのように置き換えるか疑問に思うかもしれません。データベースに送信される文字列の一重引用符をエスケープするための関数。すべての文字列にスラッシュを追加するのは面倒に思えるかもしれませんが、PDO はより効率的な代替手段を提供します。

PDO Prepare のパワー

SQL インジェクションから保護するには、PDO を使用することをお勧めします。 prepare() メソッド。この方法では、クエリ プランとメタ情報のキャッシュを有効にすることで、アプリケーションのパフォーマンスを最適化します。さらに、パラメータを手動で引用する必要がなくなるため、SQL インジェクション攻撃を防ぐことができます。

PDO Prepare の仕組み

PDO::prepare() を実行すると、PDO準備されたステートメントを確立します。このステートメントはコンパイルされてキャッシュされ、実行効率が向上します。パラメーターを使用してクエリを実行する準備ができたら、PDOStatement::execute() を呼び出します。これにより、手動で引用符を付けることなく、プリペアド ステートメントにパラメーターが挿入されます。

使用例

PDO prepare() とexecute() の使用例を次に示します。

$pdo = new PDO("...");
$sql = "INSERT INTO users (username, email) VALUES (?, ?)";
$stmt = $pdo->prepare($sql);
$stmt->execute([$username, $email]);

PDO prepare() とexecute() を使用すると、手動で文字列をエスケープすることなく、パラメータ化されたクエリを安全に実行できます。これによりコードが簡素化され、SQL インジェクション攻撃を防ぐことでセキュリティが強化されます。