日本語
日本語
PHPでは、MySQLIはMySQLデータベースを操作するさまざまな方法を提供します。これにより、準備されたステートメントがSQL注入を効果的に防止できる場合があります。 mysqli :: stmt_initおよびbind_paramは、前処理ステートメントを実装するときに一般的に使用される2つの関数です。この記事では、これら2つの機能をパラメーターバインディングに正しく使用する方法を紹介します。
mysqli :: stmt_initは、空の前処理ステートメントを初期化するために使用されるmysqliクラスのメソッドです。この方法はSQLクエリを実行するのではなく、ステートメントオブジェクトを準備するだけです。
BIND_PARAMメソッドは、実際のパラメーターをプリプロセシングステートメントにバインドするために使用されます。 SQLクエリを実行すると、これらのバインドされたパラメーターは、SQLステートメントのプレースホルダーを置き換えます。
PHPでmysqli :: stmt_initおよびbind_paramを使用する基本的なプロセスは次のとおりです。
データベースへの接続:まず、 MySQLIクラスを介してデータベースに接続する必要があります。
前処理ステートメントを作成します: STMT_INITを介して前処理ステートメントオブジェクトを作成します。
バインドパラメーター: BIND_PARAMメソッドを使用して、プリプロセシングステートメントのユーザー入力値をプレースホルダーにバインドします。
実行ステートメント:良好なパラメーターをバインドしてSQLクエリを実行します。
結果の処理:クエリの結果を取得し、操作を実行します。
パラメーターバインディングにmysqli :: stmt_initおよびbind_paramを使用する方法を示す簡単な例コードを以下に示します。
<?php
// 1. データベース接続を作成します
$mysqli = new mysqli("localhost", "user", "password", "database");
// 接続が成功しているかどうかを確認してください
if ($mysqli->connect_error) {
die("接続に失敗しました: " . $mysqli->connect_error);
}
// 2. プリプロセシングステートメントを作成します
$stmt = $mysqli->stmt_init();
if ($stmt === false) {
die("初期化ステートメントに失敗しました");
}
// 3. 準備する SQL クエリ
$sql = "SELECT name, email FROM users WHERE age = ? AND status = ?";
// 4. バインドパラメーター
if ($stmt->prepare($sql)) {
// 假设我们要クエリ年龄为 30 そしてステータスはです 'active' ユーザー
$age = 30;
$status = 'active';
// 使用 bind_param バインドパラメーター
// 'i' 整数タイプを示します,'s' 文字列タイプを表します
$stmt->bind_param('is', $age, $status);
// 5. 执行クエリ
$stmt->execute();
// 6. 获取クエリ结果
$result = $stmt->get_result();
// 输出クエリ结果
while ($row = $result->fetch_assoc()) {
echo "Name: " . $row['name'] . " - Email: " . $row['email'] . "<br>";
}
// 7. 緊密な声明
$stmt->close();
}
// 8. データベース接続を閉じます
$mysqli->close();
?>
データベースへの接続:まず、新しいMySQLIを介してデータベース接続を作成し、エラー処理を実行します。
前処理ステートメントを作成します: $ mysqli-> stmt_init()を使用して、preprocessingステートメントオブジェクトを初期化します。 falseが返された場合、それは初期化が失敗したことを意味します。
SQLクエリの準備:準備方法を介してSQLクエリを準備しますか? Bind_Paramを介したバインディングを待っているプレースホルダーです。
バインドパラメーター: bind_paramメソッドは2つのパラメーターを受信します。
最初のパラメーターは、各パラメーターのタイプを指定する型文字列です。たとえば、 「I」は整数タイプを表し、 「s」は文字列型を表し、 「d」は二重精度の浮動小数点数を表します。
2番目と後続のパラメーターは、SQLクエリにバインドされる実際の変数です。
クエリを実行する:実行メソッドを使用してプリプロセシングステートメントを実行すると、実際のSQLクエリがデータベースに送信されます。
クエリの結果を取得する: get_resultを使用して実行された結果を取得すると、 fetch_assocを使用してデータの各行を取得できます。
閉じるステートメントと接続:最後に、クエリを実行した後、ステートメントとデータベース接続を閉じます。
実際の開発では、 bind_paramに結合したパラメーターは、整数、文字列、浮動小数点数など、多くのタイプを持つことができます。一般的なタイプは次のように説明されています。
I :整数タイプ(int)。
D :ダブル精度フローティングポイントタイプ(ダブル)。
S :文字列型(文字列)。
B :BLOBタイプ(バイナリデータ)。
必要に応じて、 bind_paramはこれらのタイプに基づいてパラメーターをSQLクエリにバインドします。
プレースホルダーの順序は、バインドされたパラメーターの順序と一致する必要があります。SQLクエリのプレースホルダーの順序は、バインドされたパラメーターの順序と一致する必要があります。
エラーの確認: STMT_INITなどのメソッドを使用する場合、準備、 BIND_PARAMを使用する場合は、潜在的なエラーを回避するために常に返品値を確認することをお勧めします。
SQL注入保護:前処理ステートメントと結合パラメーターの使用は、SQL注射を防ぐための効果的な手段です。
mysqli :: stmt_initおよびbind_param関数を使用することにより、開発者はSQLインジェクションを簡単に防止し、データベース操作のセキュリティと安定性を確保できます。バインディングパラメーターのプロセスはシンプルで効率的であり、特にユーザー入力を処理する必要があるクエリに適しています。
この記事の説明が、PHPでの安全なデータベース操作にこれら2つの機能を使用する方法をよりよく理解するのに役立つことを願っています。
