sql >> データベース >  >> RDS >> Mysql

PHP変数をMySQLに渡す

    連結を使用した他の答えは、単純なものです。最善の方法は、プリペアドステートメントを使用することです。これにより、コードの安全性が大幅に向上します。

    $insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
    $q = mysqli_prepare($db, $insert);
    mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
    mysqli_stmt_execute($q);
    

    パラメータ化されたクエリを実行するということは、クエリとデータが別々に送信されることを意味します。これは、クエリの構造がすでに存在しているため、データに挿入された他のものによって変更できないことを意味します。つまり、SQLインジェクションから安全です。

    PHPマニュアルを参照してください:



    1. PHPMySQLクエリが挿入されない

    2. MySQLの日付比較機能

    3. CSVストレージエンジンを使用してCSVファイルから直接mysqlテーブルを作成しますか?

    4. テーブルをMySQLにインポートするときにCSV値内のコンマをエスケープするにはどうすればよいですか?