Výukový program PHP

PHP HOME Úvod do PHP Instalace PHP Syntaxe PHP Komentáře PHP PHP proměnné PHP Echo / tisk Datové typy PHP PHP řetězce PHP čísla PHP matematika Konstanty PHP Operátoři PHP PHP If...Else...Elseif Přepínač PHP PHP smyčky Funkce PHP Pole PHP PHP Superglobals PHP RegEx

Formuláře PHP

Manipulace s formuláři PHP Ověření formuláře PHP Je vyžadován formulář PHP Adresa URL / e-mail PHP formuláře Formulář PHP dokončen

PHP pro pokročilé

Datum a čas PHP Zahrnout PHP Práce se soubory PHP PHP soubor otevřít/číst Vytvoření/zápis souboru PHP Nahrání souboru PHP PHP soubory cookie PHP relace PHP filtry Pokročilé filtry PHP Funkce zpětného volání PHP PHP JSON Výjimky PHP

PHP OOP

PHP Co je OOP PHP třídy/objekty PHP konstruktor PHP destruktor Modifikátory přístupu PHP Dědičnost PHP Konstanty PHP Abstraktní třídy PHP Rozhraní PHP Vlastnosti PHP Statické metody PHP Statické vlastnosti PHP Jmenné prostory PHP PHP Iterables

Databáze MySQL

Databáze MySQL Připojení MySQL MySQL Vytvořte DB Vytvořit tabulku MySQL Vložit data MySQL MySQL Get Last ID MySQL Insert Multiple MySQL připraveno MySQL Select Data Kde MySQL Pořadí MySQL podle Vymazání dat MySQL Aktualizace dat MySQL Limit dat MySQL

PHP XML

PHP analyzátory XML PHP SimpleXML Parser PHP SimpleXML - Získejte PHP XML expat PHP XML DOM

PHP - AJAX

Úvod do AJAXu AJAX PHP Databáze AJAX AJAX XML AJAX Live Search Anketa AJAX

Příklady PHP

Příklady PHP PHP kompilátor PHP kvíz Cvičení PHP Certifikát PHP

Reference PHP

Přehled PHP Pole PHP Kalendář PHP Datum PHP Adresář PHP Chyba PHP Výjimka PHP Souborový systém PHP PHP filtr PHP FTP PHP JSON Klíčová slova PHP PHP Libxml PHP Mail PHP matematika PHP Různé PHP MySQLi Síť PHP Ovládání výstupu PHP PHP RegEx PHP SimpleXML PHP stream PHP řetězec PHP Variable Handling PHP XML Parser PHP zip Časová pásma PHP

PHP MySQL připravené příkazy


Připravené příkazy jsou velmi užitečné proti injekcím SQL.


Připravené výpisy a vázané parametry

Připravený příkaz je funkce používaná k opakovanému provádění stejných (nebo podobných) příkazů SQL s vysokou účinností.

Připravená prohlášení fungují v zásadě takto:

  1. Připravit: Vytvoří se šablona příkazu SQL a odešle se do databáze. Některé hodnoty jsou ponechány nespecifikované, nazývají se parametry (označené "?"). Příklad: INSERT INTO MyGuests VALUES(?, ?, ?)
  2. Databáze analyzuje, zkompiluje a provede optimalizaci dotazu na šabloně příkazu SQL a uloží výsledek, aniž by jej provedla.
  3. Provést: Později aplikace sváže hodnoty s parametry a databáze provede příkaz. Aplikace může provést příkaz tolikrát, kolikrát chce, s různými hodnotami

Ve srovnání s přímým prováděním příkazů SQL mají připravené příkazy tři hlavní výhody:

  • Připravené příkazy zkracují čas analýzy, protože příprava na dotaz se provádí pouze jednou (ačkoli příkaz je prováděn vícekrát)
  • Vázané parametry minimalizují šířku pásma na server, protože pokaždé potřebujete odeslat pouze parametry, nikoli celý dotaz
  • Připravené příkazy jsou velmi užitečné proti injekcím SQL, protože hodnoty parametrů, které jsou přenášeny později pomocí jiného protokolu, nemusí být správně escapovány. Pokud původní šablona příkazu není odvozena z externího vstupu, nemůže dojít k vložení SQL.

Připravené výpisy v MySQLi

Následující příklad používá připravené příkazy a vázané parametry v MySQLi:

Příklad (MySQLi s připravenými příkazy)

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
}

// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();

echo "New records created successfully";

$stmt->close();
$conn->close();
?>

Řádky kódu k vysvětlení z výše uvedeného příkladu:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

V našem SQL vkládáme otazník (?) tam, kde chceme dosadit v hodnotě celého čísla, řetězce, double nebo blob.

Pak se podívejte na funkci bind_param():

$stmt->bind_param("sss", $firstname, $lastname, $email);

Tato funkce spojí parametry s SQL dotazem a sdělí databázi, jaké jsou parametry. Argument "sss" uvádí typy dat, kterými jsou parametry. Znak s říká mysql, že parametr je řetězec.

Argument může být jeden ze čtyř typů:

  • i - celé číslo
  • d - dvojitý
  • s - řetězec
  • b - BLOB

Pro každý parametr musíme mít jednu z nich.

Tím, že mysql řekneme, jaký typ dat má očekávat, minimalizujeme riziko injekcí SQL.

Poznámka: Pokud chceme vložit data z externích zdrojů (např. uživatelský vstup), je velmi důležité, aby byla data dezinfikována a ověřena.



Připravené výpisy v CHOP

Následující příklad používá připravené příkazy a vázané parametry v PDO:

Příklad (CHOP s připravenými výpisy)

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";

try {
  $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
  // set the PDO error mode to exception
  $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

  // prepare sql and bind parameters
  $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
  VALUES (:firstname, :lastname, :email)");
  $stmt->bindParam(':firstname', $firstname);
  $stmt->bindParam(':lastname', $lastname);
  $stmt->bindParam(':email', $email);

  // insert a row
  $firstname = "John";
  $lastname = "Doe";
  $email = "[email protected]";
  $stmt->execute();

  // insert another row
  $firstname = "Mary";
  $lastname = "Moe";
  $email = "[email protected]";
  $stmt->execute();

  // insert another row
  $firstname = "Julie";
  $lastname = "Dooley";
  $email = "[email protected]";
  $stmt->execute();

  echo "New records created successfully";
} catch(PDOException $e) {
  echo "Error: " . $e->getMessage();
}
$conn = null;
?>