sql >> データベース >  >> RDS >> Mysql

PDOを使用してMySQLの入力をサニタイズする正しい方法

    プリペアドステートメントの考え方は、変数を連結せず、代わりにパラメーターをバインドすることです。違いは、変数がSQLに挿入されることはなく、MySQLエンジンが変数を個別に処理するため、SQLインジェクションの可能性がなくなることです。これには、変数のエスケープや前処理が不要であるという追加のボーナスもあります。

    $query = $db->prepare("SELECT password FROM login WHERE username = :username");
    $query->execute(array(':username' => $username));
    


    1. PHP7のPDOextは、結果セット全体をメモリに読み込みますか?

    2. SQLの列名があいまいなクエリエラー

    3. データベースの削除は、どのトランザクションでも実行する必要はありませんか?

    4. 現在利用可能なより多くのオンライン操作–または間もなく