Comment utiliser les instructions préparées dans PHP 7?

Les instructions préparées dans PHP 7, en utilisant les extensions MySQLI ou PDO, offrent un moyen structuré d'exécuter des requêtes SQL avec des valeurs paramétrées. Cette approche améliore considérablement la sécurité et les performances par rapport aux variables d'intégration directement en cha?nes SQL.

En utilisant MySQLI:

Tout d'abord, vous avez besoin d'une connexion de base de données. Supposons que vous ayez déjà établi une connexion en utilisant mysqli_connect().

<?php
$conn = mysqli_connect("localhost", "your_username", "your_password", "your_database");

if (!$conn) {
    die("Connection failed: " . mysqli_connect_error());
}

// Prepare the statement
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");

// Bind parameters. 's' indicates string type.  Adjust as needed for other data types (i, d, b).
$stmt->bind_param("ss", $username, $password);

// Assign values to parameters
$username = $_POST['username'];
$password = $_POST['password']; //Important: NEVER directly use user input without sanitization.  Consider password hashing instead of storing plain text passwords!

// Execute the statement
$stmt->execute();

// Bind result variables
$stmt->bind_result($id, $username, $email, $password); //Replace with your actual column names

// Fetch results
while ($stmt->fetch()) {
    echo "ID: " . $id . "<br>";
    echo "Username: " . $username . "<br>";
    echo "Email: " . $email . "<br>";
    // Avoid echoing the password!
}

// Close the statement and connection
$stmt->close();
$conn->close();
?>

Utilisation de PDO:

PDO offre une approche plus orientée objet.

<?php
$dsn = 'mysql:host=localhost;dbname=your_database';
$user = 'your_username';
$password = 'your_password';

try {
    $pdo = new PDO($dsn, $user, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");

    $stmt->execute([
        ':username' => $_POST['username'],
        ':password' => $_POST['password'], //Again, NEVER use raw user input directly for passwords.  Hash them!
    ]);

    $results = $stmt->fetchAll(PDO::FETCH_ASSOC);

    foreach ($results as $row) {
        echo "ID: " . $row['id'] . "<br>";
        echo "Username: " . $row['username'] . "<br>";
        echo "Email: " . $row['email'] . "<br>";
        // Avoid echoing the password!
    }

} catch (PDOException $e) {
    echo "Error: " . $e->getMessage();
}
?>

N'oubliez pas de remplacer les valeurs de l'espace réservé par vos rédactions de données et vos noms de table / colonnes. Surtout, toujours désinfecter ou, mieux encore, les entrées des utilisateurs de hachage avant de les utiliser dans les requêtes.

Quels sont les avantages de sécurité de l'utilisation des instructions préparées dans PHP 7?

Les instructions préparées atténuent considérablement les vulnérabilités d'injection SQL. L'injection SQL se produit lorsque les utilisateurs malveillants injectent du code SQL dans les champs d'entrée, modifiant ou compromettant potentiellement votre base de données. Les instructions préparées empêchent cela en séparant le code SQL des données. La base de données traite les paramètres comme des données, et non comme un code exécutable, neutralisant ainsi toutes les tentatives malveillantes pour manipuler la requête. En effet, la base de données analyse la requête une fois pendant la préparation, puis exécute uniquement la requête avec les paramètres fournis.

Comment les instructions préparées améliorent-elles les performances des requêtes de la base de données dans les applications PHP 7?

Les instructions préparées peuvent augmenter les performances de plusieurs fa?ons:

• Cache de requête: Le serveur de base de données peut mettre en cache le plan d'exécution de l'instruction préparée. Les exécutions ultérieures avec différents paramètres réutilisent ce plan, réduisant les frais généraux d'analyse. Ceci est particulièrement bénéfique pour les requêtes fréquemment exécutées.
• Réduction du trafic réseau: étant donné que la requête n'est envoyée qu'une seule fois pendant la préparation, les exécutions suivantes n'envoient que les paramètres, réduisant le trafic réseau entre l'application et le serveur de base de données. conduisant à un traitement de requête plus rapide.
• Quels sont les pièges courants à éviter lors de la mise en ?uvre des instructions préparées dans PHP 7?

Une mauvaise liaison des paramètres:

• Ignorer la gestion des erreurs: Vérifiez toujours les erreurs après la préparation, la liaison et l'exécution de l'instruction. Une bonne gestion des erreurs aide à identifier et à résoudre rapidement les problèmes.
• Mélange de déclarations préparées et non préparées: L'utilisation incohérente des instructions préparées peut annuler leurs avantages. Efforcez-vous de cohérence dans l'utilisation des instructions préparées tout au long de votre application.
• Négliciation de désinfection des données (avant la liaison): Bien que les instructions préparées empêchent l'injection SQL, il est crucial de désanitiser les entrées utilisateur
avant de les lier aux paramètres. Ceci est important pour l'intégrité des données et la prévention des autres types d'attaques. Par exemple, vous devrez peut-être valider la longueur de l'entrée pour éviter les problèmes de débordement de tampon.
• Traitement de types de données incorrect: en utilisant des types de données incorrects lorsque les paramètres de liaison peuvent entra?ner des erreurs ou des résultats inattendus. Portez une attention particulière aux types de données définis dans votre base de données et utilisez les types de liaison appropriés dans votre code PHP. Par exemple, n'utilisez pas de liaison de cha?ne pour une colonne entière.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!