То, как создать безопасный mysql, подготовило оператор в php?

Если вы собираетесь использовать mysqli - что кажется мне лучшим решением - я настоятельно рекомендую скачать копию класса codesense_mysqli .

Это аккуратный маленький класс, который оборачивает и скрывает большую часть ненужной информации, которая накапливается при использовании необработанного mysqli, так что при использовании подготовленных операторов требуется только одна или две дополнительные строки по сравнению со старым интерфейсом mysql / php

Подготовленные операторы не поддерживаются простым старым интерфейсом Mysql / PHP. Вам понадобится PDO или mysqli . Но если вы просто хотите заменить заполнители, проверьте этот комментарий на странице руководства php mysql_query.

Я согласен с несколькими другими ответами:

• PHP ext / mysql не поддерживает параметризованные операторы SQL.
• Параметры запроса считаются более надежными с точки зрения защиты от Проблемы с внедрением SQL.
• mysql_real_escape_string () также может быть эффективным, если вы используете его правильно, но он более подробный для кода.
• В некоторых версиях в международных наборах символов есть случаи символов, которые не экранируются должным образом, оставляя тонкие уязвимости. Использование параметров запроса позволяет избежать этих случаев.

Также следует отметить, что вам все равно следует быть осторожным с внедрением SQL, даже если вы используете параметры запроса, потому что параметры в запросах SQL заменяют только буквальные значения. Если вы создаете SQL-запросы динамически и используете переменные PHP для имени таблицы, имени столбца, или любой другой части синтаксиса SQL, ни параметры запроса, ни mysql_real_escape_string () в этом случае не помогут. Например:

$query = "SELECT * FROM $the_table ORDER BY $some_column"; 

Что касается производительности:

• Повышение производительности достигается, когда вы выполняете подготовленный запрос несколько раз с разными значениями параметров. Вы избегаете накладных расходов на синтаксический анализ и подготовку запроса. Но как часто вам нужно выполнять один и тот же SQL-запрос много раз в одном и том же запросе PHP?
• Даже когда вы можете воспользоваться этим преимуществом производительности, обычно это лишь небольшое улучшение по сравнению со многими другими вещами, которые вы могли бы сделать для решить проблему производительности, например, эффективно использовать кэширование кода операции или кэширование данных.

• Бывают даже случаи, когда подготовленный запрос снижает производительность . Например, в следующем случае оптимизатор не может предположить, что он может использовать индекс для поиска,

Если модель имеет другие свойства, а затем имя, вам необходимо инициализировать их исходным значением в базе данных, если только они не будут установлены на null.

Вы можете использовать операции обновления HQL ; Сам я никогда не пробовал.

Вы также можете использовать собственный оператор SQL . (" Вот несколько мест, где вы можете получить полезные советы:

• http://webmaster-forums.code-head.com/showthread.php?t=939
• http://www.sitepoint.com /article/php-security-blunders/[12167 providedhttp://dev.mysql.com/tech-resources/articles/guide-to-php-security.html
• http://www.scribd.com/ doc / 17638718 / Module-11-PHP-MySQL-Database-Security-16

На мой взгляд, два наиболее важных элемента:

• SQL-инъекция: Обязательно экранируйте все переменные вашего запроса с помощью PHP mysql_real_escape_string () функция (или что-то подобное).
• Проверка ввода: Никогда не доверяйте вводу пользователя. См. this , чтобы узнать, как правильно дезинфицировать и проверять ваши входные данные.

Несколько причин: Если у вас есть сложные объединения, иногда лучше иметь представление, чтобы при любом доступе соединения всегда были правильными, а разработчикам не приходилось запоминать все таблицы, которые могут им понадобиться. Обычно это может быть для финансового приложения, где чрезвычайно важно, чтобы все финансовые отчеты основывались на одном и том же наборе данных.

Если у вас есть пользователи, которым вы хотите ограничить записи, которые они могут когда-либо видеть, вы можете использовать представление , предоставьте им доступ только к представлению, а не к базовым таблицам, а затем запросите представление

Похоже, что отчеты Crystal предпочитают использовать представления для сохраненных процессов, поэтому люди, которые много пишут отчеты, как правило, используют много представлений

] Представления также очень полезны при рефакторинге баз данных. Часто вы можете скрыть изменение, чтобы старый код не увидел его, создав представление.

$("#source").appendTo("#destination");

В качестве альтернативы вы можете использовать функцию prependTo (которая добавляет в начало элемента):

$("#source").prependTo("#destination");

Пример:

 $ ("# appendTo"). Click (function () {$ ("#moveMeIntoMain"). appendTo ($ ("# main"));}); $ ("# prependTo"). click (function () {$ ("# moveMeIntoMain"). prependTo ($ ("# main"));}); 

 #main {border: 2px сплошной синий; минимальная высота: 100 пикселей; } .moveMeIntoMain {граница: 1px сплошной красный; } 

  
 main < / div> 
 переместить меня на главную 
  appendTo main   prependTo main 


 Вы можете использовать  операции обновления HQL ; Сам я никогда не пробовал. 

 Вы также можете использовать  собственный оператор SQL . (« Обновить имя набора моделей ... »). 

 Обычно эта оптимизация не требуется. В очень редких случаях нужно избегать выбора данных, поэтому написание этих операторов SQL - пустая трата времени. Вы используете ORM, это означает: пишите объектно-ориентированное программное обеспечение! Если только вы не получите от этого особой выгоды. 
 поэтому написание этих операторов SQL - пустая трата времени. Вы используете ORM, это означает: пишите объектно-ориентированное программное обеспечение! Если только вы не получите от этого особой выгоды. 
 поэтому написание этих операторов SQL - пустая трата времени. Вы используете ORM, это означает: пишите объектно-ориентированное программное обеспечение! Если только вы не получите от этого особой выгоды. 

например  PDO 


<?php
/* Execute a prepared statement by passing an array of values */
$sth = $dbh->prepare('SELECT * FROM mytable where userid=? and category=? 
                      order by id DESC');
$sth->execute(array($_GET['userid'],$_GET['category']));
//Consider a while and $sth->fetch() to fetch rows one by one
$allRows = $sth->fetchAll(); 
?>


 Или, используя  mysqli 

<?php
$link = mysqli_connect("localhost", "my_user", "my_password", "world");

/* check connection */
if (mysqli_connect_errno()) {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
}

$category = $_GET['category'];
$userid = $_GET['userid'];

/* create a prepared statement */
if ($stmt = mysqli_prepare($link, 'SELECT col1, col2 FROM mytable where 
                      userid=? and category=? order by id DESC')) {
    /* bind parameters for markers */
    /* Assumes userid is integer and category is string */
    mysqli_stmt_bind_param($stmt, "is", $userid, $category);  
    /* execute query */
    mysqli_stmt_execute($stmt);
    /* bind result variables */
    mysqli_stmt_bind_result($stmt, $col1, $col2);
    /* fetch value */
    mysqli_stmt_fetch($stmt);
    /* Alternative, use a while:
    while (mysqli_stmt_fetch($stmt)) {
        // use $col1 and $col2 
    }
    */
    /* use $col1 and $col2 */
    echo "COL1: $col1 COL2: $col2\n";
    /* close statement */
    mysqli_stmt_close($stmt);
}

/* close connection */
mysqli_close($link);
?>
                  
                  

                     
                     
11

                  
                  

                  

                     ответ дан                      28 November 2019 в 04:33 
                  
                  поделиться