Beranda>Tutorial Pemrograman Jaringan>tutorial PHP

Pernyataan yang disiapkan PHPMySQL

Penulis:Eve Cole Waktu Pembaruan:2025-01-08 11:12:01

Pernyataan yang disiapkan sangat berguna untuk mencegah injeksi MySQL.

Pernyataan yang disiapkan dan parameter terikat

Pernyataan yang telah disiapkan digunakan untuk mengeksekusi beberapa pernyataan SQL yang identik dengan lebih efisien.

Pernyataan yang disiapkan berfungsi sebagai berikut:

Prapemrosesan: Membuat templat pernyataan SQL dan mengirimkannya ke database. Nilai yang dicadangkan ditandai dengan parameter "?". Misalnya:

 MASUKKAN KE Tamu Saya (nama depan, nama belakang, email) NILAI(?, ?, ?)

Penguraian basis data, kompilasi, optimalisasi kueri pada templat pernyataan SQL, dan penyimpanan hasil tanpa keluaran.

Eksekusi: Terakhir, nilai terikat aplikasi diteruskan ke parameter ("?" tanda), dan database mengeksekusi pernyataan tersebut. Aplikasi dapat mengeksekusi pernyataan beberapa kali jika nilai parameternya berbeda.

Dibandingkan dengan mengeksekusi pernyataan SQL secara langsung, pernyataan yang disiapkan memiliki dua keunggulan utama:

Pernyataan yang disiapkan sangat mengurangi waktu analisis, karena hanya satu kueri yang dibuat (walaupun pernyataan tersebut dieksekusi beberapa kali).

Parameter pengikatan mengurangi bandwidth server, Anda hanya perlu mengirimkan parameter kueri, bukan seluruh pernyataan.

Pernyataan yang disiapkan sangat berguna untuk injeksi SQL karena protokol yang berbeda digunakan setelah nilai parameter dikirim, memastikan validitas data.

MySQLi menyiapkan pernyataan

Contoh berikut menggunakan pernyataan yang telah disiapkan di MySQLi dan mengikat parameter terkait:

Contoh (MySQLi menggunakan pernyataan yang telah disiapkan)

<?php $namaserver = " localhost " ; $namapengguna = " nama pengguna " ; $kata sandi = " kata sandi " ; $ namadb = " myDB " ; $sambungan = baru mysqli ( $servername , $username , $password , $dbname ) ; // Mendeteksi koneksi jika ( $sambungan -> koneksi_kesalahan ) { die ( " Koneksi gagal: " . $ conn -> connect_error ) } // Pemrosesan awal dan pengikatan $stmt = $conn -> persiapkan ( " MASUKKAN KE Tamu Saya (nama depan, nama belakang, email) NILAI (?, ?, ?) " ) ; $stmt -> bind_param ( " sss " , $nama depan , $nama belakang , $email ) ; // Tetapkan parameter dan jalankan $nama depan = " John " ; $ nama belakang = " Doe " ; $ email = " [email protected] " ; $ stmt - > jalankan ( ) ; $ nama depan = " Mary " ; " [email protected] " ; $stmt -> jalankan ( ) ; $nama depan = " Julie " ; $nama belakang = " Dooley " $ email = " [email protected] " ; $ stmt -> jalankan ( ) ; " Catatan baru berhasil dimasukkan " ; $stmt -> close ( ) ; $conn -> close ( ) ? >

Parsing setiap baris kode untuk contoh berikut:

"MASUKKAN KE Tamu Saya (nama depan, nama belakang, email) NILAI(?, ?, ?)"

Dalam pernyataan SQL, kita menggunakan tanda tanya (?), di sini kita dapat mengganti tanda tanya dengan bilangan bulat, string, titik mengambang presisi ganda, dan nilai boolean.

Selanjutnya, mari kita lihat fungsi bind_param() :

$stmt->bind_param("sss", $nama depan, $nama belakang, $email);

Fungsi ini mengikat parameter SQL dan memberi tahu database nilai parameternya. Kolom parameter "sss" menangani tipe data dari parameter lainnya. Karakter s memberi tahu database bahwa parameternya adalah string.

Ada empat jenis parameter:

i - bilangan bulat (tipe bilangan bulat)

d - ganda (tipe floating point presisi ganda)

s - tali

b - BLOB (objek besar biner: objek besar biner)

Setiap parameter memerlukan tipe tertentu.

Dengan memberi tahu database tipe data parameter, Anda dapat mengurangi risiko injeksi SQL.

Catatan: Jika ingin memasukkan data lain (input pengguna), validasi data tersebut sangat penting.

Pernyataan yang disiapkan di PDO

Dalam contoh berikut, kami menggunakan pernyataan yang telah disiapkan dan parameter pengikatan di PDO:

Contoh (PDO menggunakan pernyataan yang sudah disiapkan)

<?php $namaserver = " host lokal " ; $namapengguna = " nama pengguna " ; $kata sandi = " kata sandi " ; $namadb = " myDBPDO " ; { $sambungan = baru PDO ( " mysql:host= $servername ;dbname= $dbname " , $username , $password ) ; // Atur mode kesalahan PDO ke pengecualian $conn -> setAttribute ( PDO :: ATTR_ERRMODE , PDO :: ERRMODE_EXCEPTION ) ; // Memproses terlebih dahulu SQL dan mengikat parameter $stmt = $conn -> persiapkan ( " INSERT INTO MyGuests (nama depan, nama belakang, email) NILAI (:nama depan, :nama belakang, :email) " ) $ stmt -> bindParam ( ' :nama depan ' , $nama depan ) $ ; stmt -> bindParam ( ' :nama belakang ' , $nama belakang ) ; $stmt -> bindParam ( ' :email ' , $email ) ; // Sisipkan baris $nama depan = " John " ; $nama belakang = " Doe " ; $email = " [email protected] " ; $stmt -> jalankan ( ) ; // Sisipkan baris lainnya $nama depan = " Mary " ; $nama belakang = " Moe " ; $email = " [email protected] " ; $stmt -> jalankan ( ) ; // Sisipkan baris lainnya $nama depan = " Julie " ; $nama belakang = " Dooley " ; $ email = " [email protected] " ; $stmt -> jalankan ( ) ; " Catatan baru berhasil dimasukkan " ; menangkap ( PDOException $e ) { gema " Kesalahan : " .$sambungan = nol ? >
Artikel Terkait