Tuyên bố chuẩn bị cho PHP MySQL
Các câu lệnh chuẩn bị sẵn rất hữu ích để chống lại việc tiêm SQL.
Tuyên bố chuẩn bị và tham số ràng buộc
Câu lệnh chuẩn bị là một tính năng được sử dụng để thực thi các câu lệnh SQL giống nhau (hoặc tương tự) lặp đi lặp lại với hiệu quả cao.
Các câu lệnh chuẩn bị về cơ bản hoạt động như sau:
- Chuẩn bị: Một mẫu câu lệnh SQL được tạo và gửi đến cơ sở dữ liệu. Các giá trị nhất định không được xác định, được gọi là tham số (có nhãn "?"). Ví dụ: CHÈN VÀO CÁC GIÁ TRỊ CỦA MyGuests (?,?,?)
- Cơ sở dữ liệu phân tích cú pháp, biên dịch và thực hiện tối ưu hóa truy vấn trên mẫu câu lệnh SQL và lưu trữ kết quả mà không cần thực thi nó
- Thực thi: Sau đó, ứng dụng liên kết các giá trị với các tham số và cơ sở dữ liệu thực thi câu lệnh. Ứng dụng có thể thực thi câu lệnh bao nhiêu lần tùy ý với các giá trị khác nhau
So với việc thực thi trực tiếp các câu lệnh SQL, các câu lệnh chuẩn bị sẵn có ba ưu điểm chính:
- Các câu lệnh chuẩn bị làm giảm thời gian phân tích cú pháp vì việc chuẩn bị trên truy vấn chỉ được thực hiện một lần (mặc dù câu lệnh được thực hiện nhiều lần)
- Tham số ràng buộc giảm thiểu băng thông đến máy chủ vì bạn chỉ cần gửi các tham số mỗi lần, chứ không phải toàn bộ truy vấn
- Các câu lệnh chuẩn bị sẵn rất hữu ích để chống lại việc tiêm SQL, bởi vì các giá trị tham số, được truyền sau này bằng một giao thức khác, không cần phải được thoát một cách chính xác. Nếu mẫu câu lệnh ban đầu không có nguồn gốc từ đầu vào bên ngoài, thì không thể xảy ra chèn SQL.
Các câu lệnh chuẩn bị trong MySQLi
Ví dụ sau sử dụng các câu lệnh đã chuẩn bị và các tham số liên kết trong MySQLi:
Ví dụ (MySQLi với các câu lệnh chuẩn bị)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "New records created successfully";
$stmt->close();
$conn->close();
?>
Các dòng mã để giải thích từ ví dụ trên:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"
Trong SQL của chúng tôi, chúng tôi chèn một dấu chấm hỏi (?) Mà chúng tôi muốn thay thế bằng giá trị số nguyên, chuỗi, kép hoặc blob.
Sau đó, hãy xem hàm bind_param ():
$stmt->bind_param("sss", $firstname, $lastname, $email);
Hàm này liên kết các tham số với truy vấn SQL và cho cơ sở dữ liệu biết các tham số là gì. Đối số "sss" liệt kê các loại dữ liệu mà các tham số là. Ký tự s cho mysql biết rằng tham số là một chuỗi.
Đối số có thể là một trong bốn loại:
- i - số nguyên
- d - gấp đôi
- s - chuỗi
- b - BLOB
Chúng ta phải có một trong những thứ này cho mỗi tham số.
Bằng cách cho mysql biết loại dữ liệu mong đợi, chúng tôi giảm thiểu nguy cơ bị tiêm SQL.
Lưu ý: Nếu chúng tôi muốn chèn bất kỳ dữ liệu nào từ các nguồn bên ngoài (như thông tin người dùng nhập vào), thì điều rất quan trọng là dữ liệu đó phải được làm sạch và xác thực.
Các câu lệnh chuẩn bị trong PDO
Ví dụ sau sử dụng các câu lệnh đã chuẩn bị và các tham số ràng buộc trong PDO:
Ví dụ (PDO với các câu lệnh soạn sẵn)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// set the PDO error mode to exception
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// prepare sql and bind parameters
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// insert a row
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
// insert another row
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
// insert another row
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "New records created successfully";
} catch(PDOException $e)
{
echo "Error: " . $e->getMessage();
}
$conn = null;
?>