Mysql
 sql >> Baza danych >  >> RDS >> Mysql

Prawidłowy sposób oczyszczania danych wejściowych w MySQL za pomocą PDO

Ideą przygotowanych instrukcji jest to, że nie łączysz zmiennych, lecz wiążesz parametry. Różnica polega na tym, że zmienna nigdy nie jest wstawiana do SQL, a silnik MySQL obsługuje zmienną oddzielnie, co nie pozostawia możliwości wstrzyknięcia SQL. Ma to również dodatkową zaletę, że nie jest wymagana żadna ucieczka ani wstępne przetwarzanie zmiennej.

$query = $db->prepare("SELECT password FROM login WHERE username = :username");
$query->execute(array(':username' => $username));


  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Czy mogę ponownie użyć wyrażenia w zapytaniu MySQL jako zmiennej dla innego pola?

  2. PHP i MySQL:Konwersja zapisanego ZNACZNIKA CZASOWEGO na lokalną strefę czasową użytkownika

  3. Jak naprawić źle sformatowany JSON w PHP?

  4. MySQL DATEDIFF() vs TIMEDIFF():Jaka jest różnica?

  5. Różnice w wydajności między równymi (=) i IN z jedną wartością dosłowną