MySQL 准备语句：使用 PDO 确保数据安全

担心 MySQL 应用程序中的转义函数和 SQL 注入漏洞？ MySQL 准备好的语句功能可能不可用，但这并不意味着您必须在安全性上做出妥协。

PDO：安全替代方案

PHP 数据对象 ( PDO）是一个功能强大的库，提供与数据库交互的一致接口。使用 PDO，您可以连接到 MySQL 数据库并将所有数据库输入视为文本字符串，从而无需手动转义。

使用 PDO 连接到 MySQL

To开始使用 PDO，创建一个数据库对象，如下所示：

$db = new PDO("mysql:host=[hostname];dbname=[database]", '[username]', '[password]');

设置字符编码为UTF-8:

$db->setAttribute(PDO::MYSQL_ATTR_INIT_COMMAND, "SET NAMES utf8");
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$db->exec('SET NAMES utf8');

执行准备语句

建立数据库对象后，您现在可以执行准备语句：

• 选择查询：

$id = 1;
$q = $db->prepare('SELECT * FROM Table WHERE id = ?');
$q->execute(array($id));

• 更新查询:

$q = $db->prepare('UPDATE Table SET Column_1 = ?, Column_2 = ? WHERE id = ?');
$q->execute(array('Value for Column_1', 'Value for Column_2', $id));

• 通配符搜索:

$search = 'John';
$q = $db->prepare('SELECT * FROM Table WHERE Column_1 LIKE ?');
$q->execute(array('%'.$search.'%'));

结论

通过使用 PDO 和准备好的语句，您可以增强通过降低 SQL 注入风险来确保 MySQL 应用程序的安全性。凭借其简化的界面和强大的安全功能，PDO 是保护数据库免受恶意攻击不可或缺的工具。