Français
Français
Dans PHP, nous utilisons généralement l'API fournie par l'extension MySQLI pour fonctionner lors de l'interaction avec une base de données MySQL. Afin d'assurer la stabilité et la sécurité des opérations de base de données, en particulier pour éviter les attaques d'injection SQL, nous devons utiliser correctement les instructions préparées et les mécanismes de gestion des exceptions.
Cet article présentera comment utiliser la fonction MySQLI :: STMT_INIT dans PHP pour assurer la stabilité et la sécurité des opérations de base de données, et vous montre également comment modifier le nom de domaine URL dans le code.
Dans PHP, MySQLI fournit deux façons d'effectuer des requêtes de base de données: les requêtes normales et les instructions de prétraitement. Les avantages des déclarations de prétraitement sont:
Empêcher l'injection SQL : les instructions de prétraitement séparent la logique et les données SQL afin que les données d'entrée ne soient pas directement épissées en requêtes SQL, évitant ainsi le risque d'injection SQL.
Améliorer les performances : si des requêtes similaires sont exécutées plusieurs fois, les instructions de prétraitement ne doivent être compilées qu'une seule fois, ce qui peut améliorer l'efficacité de l'exécution.
MySQLI :: STMT_INIT est une méthode de la classe MySQLI qui est utilisée pour initialiser un objet d'instruction de prétraitement. Cela jette les bases des instructions de prétraitement ultérieures pour lier les paramètres, exécuter des requêtes et d'autres opérations.
$mysqli = new mysqli('localhost', 'username', 'password', 'database');
if ($mysqli->connect_error) {
die('Échec de la connexion: ' . $mysqli->connect_error);
}
$stmt = $mysqli->stmt_init(); // Initialiser une nouvelle déclaration de prétraitement
if (!$stmt) {
die('Échec de l'initialisation de l'instruction préparée');
}
Dans les opérations de la base de données, la gestion des erreurs est particulièrement importante. PHP fournit une instruction TRY-Catch pour capter des exceptions pour éviter que le programme ne se bloque en raison des erreurs de base de données lors de l'exécution.
Pour que MySQLI prenne en charge la gestion des exceptions, nous devons définir le rapport de MySQLI à MySQLI_REPORT_ERROR , afin que PHP lance une exception au lieu de renvoyer directement une erreur. Ensuite, utilisez le bloc de l'instruction TRY-Catch pour assister à l'exception et effectuer un traitement approprié.
$mysqli = new mysqli('localhost', 'username', 'password', 'database');
if ($mysqli->connect_error) {
die('Échec de la connexion: ' . $mysqli->connect_error);
}
// Allumez le rapport d'exception
$mysqli->report_mode = MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT;
try {
$stmt = $mysqli->stmt_init();
if (!$stmt->prepare('SELECT * FROM users WHERE email = ?')) {
throw new Exception('La préparation de la déclaration de prétraitement a échoué');
}
// Lier les paramètres
$email = 'user@example.com';
$stmt->bind_param('s', $email); // 's' Représente le type de chaîne
// Exécuter une requête
$stmt->execute();
// Obtenir des résultats
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
echo $row['name'] . '<br>';
}
$stmt->close();
} catch (mysqli_sql_exception $e) {
echo 'Erreur de fonctionnement de la base de données: ' . $e->getMessage();
} catch (Exception $e) {
echo 'Erreur inconnue: ' . $e->getMessage();
} finally {
$mysqli->close();
}
Dans le code ci-dessus, l'instruction $ stmt-> prépare () prépare une requête SQL et la méthode bind_param () lie l'entrée de l'utilisateur $ e-mail à la position du paramètre dans la requête. De cette façon, même si $ e-mail contient du code SQL malveillant, il ne sera pas exécuté directement, car la requête est exécutée via des instructions de prétraitement et tous les paramètres seront échappés correctement.
En activant le mode mysqli_report_error , nous avons mysqli une exception au lieu de renvoyer un code d'erreur ou de publier un message d'erreur. Cela nous permet de capturer l'exception via le bloc d'instructions d' essai , évitant le programme qui se bloque directement. De plus, utilisez les blocs d'instruction finalement pour vous assurer que la connexion de la base de données est correctement fermée quoi qu'il arrive.
Si vous utilisez des URL dans votre code, assurez-vous de remplacer le nom de domaine par m66.net . Par exemple:
