Declaraciones preparadas PHPMySQL

Las declaraciones preparadas son muy útiles para prevenir la inyección de MySQL.

Declaraciones preparadas y parámetros vinculados

Las declaraciones preparadas se utilizan para ejecutar varias declaraciones SQL idénticas de manera más eficiente.

Las declaraciones preparadas funcionan de la siguiente manera:

Preprocesamiento: cree plantillas de declaraciones SQL y envíelas a la base de datos. Los valores reservados están marcados con el parámetro "?". Por ejemplo:

 INSERTAR EN MisInvitados (nombre, apellido, correo electrónico) VALORES(?, ?, ?)

Análisis de bases de datos, compilación, optimización de consultas en plantillas de declaraciones SQL y almacenamiento de resultados sin salida.

Ejecución: finalmente, el valor vinculado a la aplicación se pasa al parámetro ("?") y la base de datos ejecuta la declaración. La aplicación puede ejecutar la declaración varias veces si los valores de los parámetros son diferentes.

En comparación con la ejecución directa de sentencias SQL, las sentencias preparadas tienen dos ventajas principales:

Las declaraciones preparadas reducen en gran medida el tiempo de análisis, ya que solo se realiza una consulta (aunque la declaración se ejecuta varias veces).

Los parámetros vinculantes reducen el ancho de banda del servidor; solo necesita enviar los parámetros de la consulta en lugar de la declaración completa.

Las declaraciones preparadas son muy útiles para la inyección SQL porque se utilizan diferentes protocolos después de enviar los valores de los parámetros, lo que garantiza la validez de los datos.

Declaraciones preparadas MySQLi

El siguiente ejemplo utiliza declaraciones preparadas en MySQLi y vincula los parámetros correspondientes:

Ejemplo (MySQLi usa declaraciones preparadas)

<?php $servername = " localhost " ; $username = " nombre de usuario " ; $contraseña = " contraseña " ; $ dbname = " myDB " ; $conexión = nuevo mysqli ( $nombredelservidor , $nombredeusuario , $contraseña , $nombrebd ) ; // Detecta la conexión; si ( $conexión -> connect_error ) { die ( " Error de conexión: " . $conn - > connect_error ) ; // Preprocesamiento y encuadernación $stmt = $conn -> preparar ( " INSERTAR EN MisInvitados (nombre, apellido, correo electrónico) VALORES (?, ?, ?) " ) ; $stmt -> bind_param ( " sss " , $nombre , $apellido , $correo electrónico ) ; // Establecer parámetros y ejecutar $ nombre = " Juan " ; $ apellido = " Doe " ; $ correo electrónico = " [email protected] " ; $ stmt - > ejecutar ( ) $ nombre = " María " ;​​ " [email protected] " ; $stmt -> ejecutar ( ) ; $nombre = " Julie " ; $apellido = " Dooley " $correo electrónico = " [email protected] " ; $stmt -> ejecutar ( ) ; eco " Nuevo registro insertado exitosamente " ; $stmt -> cerrar ( ) ; $conn -> cerrar ( ? > ) ;

Analice cada línea de código para el siguiente ejemplo:

"INSERTAR EN MisInvitados (nombre, apellido, correo electrónico) VALORES (?, ?, ?)"

En la declaración SQL, usamos el signo de interrogación (?), aquí podemos reemplazar el signo de interrogación con un número entero, una cadena, un punto flotante de doble precisión y un valor booleano.

A continuación, echemos un vistazo a la función bind_param():

$stmt->bind_param("sss", $nombre, $apellido, $correo electrónico);

Esta función vincula los parámetros SQL y le dice a la base de datos el valor de los parámetros. La columna de parámetros "sss" maneja los tipos de datos de los parámetros restantes. El carácter s le dice a la base de datos que el parámetro es una cadena.

Hay cuatro tipos de parámetros:

i - entero (tipo entero)

d - doble (tipo coma flotante de doble precisión)

s - cuerda

b - BLOB (objeto binario grande: objeto binario grande)

Cada parámetro requiere un tipo específico.

Al indicarle a la base de datos el tipo de datos del parámetro, puede reducir el riesgo de inyección SQL.

	Nota: Si desea insertar otros datos (entrada del usuario), la validación de los datos es muy importante.

Declaraciones preparadas en DOP

En el siguiente ejemplo, utilizamos declaraciones preparadas y parámetros de enlace en PDO:

Ejemplo (PDO utiliza declaraciones preparadas)

<?php $nombredeservidor = " localhost " ; $nombre de usuario = " nombre de usuario " ; $contraseña = " contraseña " ; $dbname = " myDBPDO " ; { $conexión = nuevo PDO ( " mysql:host= $servername ;dbname= $dbname " , $nombre de usuario , $contraseña ) ; // Establece el modo de error de PDO en excepción; $conn -> setAttribute ( PDO :: ATTR_ERRMODE , PDO :: ERRMODE_EXCEPTION ) // Preprocesar SQL y vincular parámetros ; $stmt = $conn -> preparar ( " INSERTAR EN MisInvitados (nombre, apellido, correo electrónico) VALORES (:nombre, :apellido, :correo electrónico) " ) $ stmt -> bindParam ( ' :nombre ' , $ nombre ) ; stmt -> bindParam ( ' :apellido ' , $apellido ) ; $stmt -> bindParam ( ' :correo electrónico ' , $correo electrónico ) ; // Insertar fila $nombre = " John " ; $apellido = " Doe " ; $email = " [email protected] " ; $ stmt - > ejecutar ( ) ; $ nombre = " Mary " ; $ apellido = " Moe " ; $ email = " [email protected] " ;​​​​​ $ nombre = " Julie " ; $ apellido = " Dooley " ; $ correo electrónico = " [email protected] " ;​​​ " Nuevo registro insertado exitosamente " ; captura ( PDOException $e ) { eco " Error: " . $e - > obtenerMensaje ( ) ; $conexión = nulo ? >