使用 PDO 轉義字串

從 mysql 函式庫轉換到 PDO 時，一個常見的問題是關於 real_escape_string 函數的替換。本文將深入探討使用 PDO 轉義字串的建議方法。

使用 PDO 準備

在 PDO 中轉義字串的建議方法是使用 PDO::prepare()。此函數可讓您建立一個可以使用不同參數值多次執行的預先準備語句。透過使用準備好的語句，您可以防止 SQL 注入攻擊並優化應用程式的效能。

準備好的語句如何運作

PDO 準備好的語句透過將 SQL 查詢與其參數分離來運作。這允許 PDO 驅動程式優化語句的查詢計劃和元資訊。當您執行準備好的語句時，您以陣列形式提供參數值。 PDO 將自動引用和轉義這些值，從而無需手動引用字串。

範例

以下是如何使用PDO Prepare 轉義字串的範例：

$statement = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
$statement->bindParam(':name', $name);
$statement->bindParam(':email', $email);
$statement->execute();

在此範例中，當執行準備好的語句時，:name 和 :email 佔位符將會被指定的參數值取代。 PDO 在將這些值插入資料庫之前會自動轉義，從而防止 SQL 注入。

結論

透過使用 PDO Prepare，您可以輕鬆轉義字串並防止 SQL 注入攻擊。這種方法既安全又高效，可以優化 PDO 查詢的效能。