MySQL 쿼리 이스케이프: PDO 대 mysql_real_escape_string

mysql_real_escape_string은 MySQL 쿼리를 이스케이프하고 SQL 주입을 방지하는 방법을 제공하지만 PHP 데이터 개체(PDO)를 사용하는 것이 좋습니다. ) 보안과 다양성을 강화했습니다.

이란 무엇입니까? PDO?

PDO는 다양한 데이터베이스 서버와 상호 작용하기 위한 통합 접근 방식을 제공하는 PHP의 객체 지향 인터페이스입니다. 일반적인 데이터베이스 작업을 개체의 메서드와 속성으로 캡슐화하여 데이터베이스 처리를 단순화합니다.

PDO가 더 나은 이유는 무엇입니까?

1. 이스케이프: PDO는 사용 중인 데이터베이스 엔진을 기반으로 입력 값을 자동으로 이스케이프합니다. 이는 악의적인 입력으로 인해 데이터베이스가 손상될 수 있는 SQL 주입을 방지하는 데 도움이 됩니다.

2. 매개변수화된 쿼리: PDO는 매개변수화된 쿼리를 지원하므로 SQL 문의 자리표시자에 값을 바인딩할 수 있습니다. 이를 통해 쿼리 매개변수가 우발적으로 또는 의도적으로 조작되는 것을 방지하여 보안을 더욱 강화합니다.

3. 데이터베이스 독립성: PDO는 다양한 데이터베이스 서버(예: MySQL, PostgreSQL, Oracle)에 연결할 수 있습니다. 연결 문자열만 수정하면 코드 변경 없이 데이터베이스 간을 원활하게 전환할 수 있습니다.

4. 객체 지향 설계: PDO는 최상의 프로그래밍 방식을 따르는 객체 지향입니다. 이를 통해 재사용 가능한 데이터베이스 연결 객체를 생성하고 더 많은 제어와 모듈성을 통해 데이터베이스 작업을 처리할 수 있습니다.

PDO 사용 방법

MySQL 이스케이프에 PDO를 사용하려면 다음 단계를 따르세요.

1. 데이터베이스에 연결:

   $dsn = 'mysql:dbname=mydb;host=localhost';
   $user = 'username';
   $password = 'password';
   $pdo = new PDO($dsn, $user, $password);

2. 쿼리 준비:

   $query = $pdo->prepare('SELECT * FROM users WHERE username = :username');

3. 바인드 매개변수:

   $query->bindParam(':username', $username);

4. 다음을 실행합니다. 쿼리:

   $query->execute();

5. 결과 가져오기:

   $results = $query->fetchAll(PDO::FETCH_ASSOC);

PDO를 사용하면 MySQL 쿼리를 이스케이프하고 데이터베이스와 상호 작용하기 위한 강력하고 안전한 메커니즘을 활용할 수 있습니다.