Подход PDO к предотвращению SQL-инъекций

Если вы перешли с библиотеки mysql на PDO, вы можете задаться вопросом, как заменить real_escape_string функция для экранирования одинарных кавычек в строках, предназначенных для вашей базы данных. Хотя добавление косых черт в каждую строку может показаться обременительным, PDO предоставляет более эффективную альтернативу. метод подготовки(). Этот метод оптимизирует производительность вашего приложения, позволяя кэшировать планы запросов и метаинформацию. Кроме того, это устраняет необходимость ручного заключения параметров в кавычки, тем самым предотвращая атаки SQL-инъекций.

Как работает подготовка PDO

При выполнении PDO::prepare(), PDO устанавливает подготовленное заявление. Затем этот оператор компилируется и кэшируется, что повышает эффективность выполнения. Когда вы будете готовы выполнить запрос с параметрами, вы вызываете PDOStatement::execute(), который вставляет параметры в подготовленный оператор без необходимости заключать в кавычки вручную.

Пример использования

Вот пример использования PDO-подготовки() и выполнения():

$pdo = new PDO("..."); $sql = "ВСТАВИТЬ В пользователей (имя пользователя, адрес электронной почты) ЗНАЧЕНИЯ (?, ?)"; $stmt = $pdo->prepare($sql); $stmt->execute([$username, $email]);