البيانات المعدة لـ PHP MySQL
العبارات المعدة مفيدة جدًا ضد حقن SQL.
البيانات المعدة والمعلمات المقيدة
البيان المُعد هو ميزة تُستخدم لتنفيذ نفس عبارات SQL (أو ما شابهها) بشكل متكرر وبكفاءة عالية.
تعمل البيانات المعدة بشكل أساسي على النحو التالي:
- التحضير: يتم إنشاء قالب بيان SQL وإرساله إلى قاعدة البيانات. يتم ترك قيم معينة غير محددة ، تسمى المعلمات (تسمى "؟"). مثال: أدخل في MyGuests VALUES (؟،؟،؟)
- تقوم قاعدة البيانات بتوزيع وترجمة وتنفيذ تحسين الاستعلام على قالب جملة SQL وتخزين النتيجة دون تنفيذها
- التنفيذ: في وقت لاحق ، يربط التطبيق القيم بالمعلمات ، وتقوم قاعدة البيانات بتنفيذ العبارة. يمكن للتطبيق تنفيذ البيان عدة مرات كما يريد بقيم مختلفة
بالمقارنة مع تنفيذ جمل SQL مباشرة ، فإن العبارات المعدة لها ثلاث مزايا رئيسية:
- تعمل العبارات المعدة على تقليل وقت التحليل لأن التحضير للاستعلام يتم مرة واحدة فقط (على الرغم من تنفيذ العبارة عدة مرات)
- تعمل المعلمات المقيدة على تقليل النطاق الترددي إلى الخادم حيث تحتاج إلى إرسال المعلمات فقط في كل مرة ، وليس الاستعلام بالكامل
- تعتبر العبارات المعدة مفيدة جدًا ضد عمليات حقن SQL ، لأن قيم المعلمات ، التي يتم إرسالها لاحقًا باستخدام بروتوكول مختلف ، لا يلزم تجاوزها بشكل صحيح. إذا لم يكن قالب البيان الأصلي مشتقًا من إدخال خارجي ، فلا يمكن أن يحدث إدخال SQL.
البيانات المعدة في MySQLi
يستخدم المثال التالي البيانات المعدة والمعلمات المرتبطة في MySQLi:
مثال (MySQLi مع بيانات معدة)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);
// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "New records created successfully";
$stmt->close();
$conn->close();
?>
خطوط الكود المراد شرحها من المثال أعلاه:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"
في SQL الخاص بنا ، نقوم بإدخال علامة استفهام (؟) حيث نريد استبدالها بعدد صحيح أو سلسلة أو قيمة مزدوجة أو قيمة blob.
ثم ألق نظرة على وظيفة bind_param ():
$stmt->bind_param("sss", $firstname, $lastname, $email);
تربط هذه الوظيفة المعلمات باستعلام SQL وتخبر قاعدة البيانات ما هي المعلمات. تسرد الوسيطة "sss" أنواع البيانات التي تكون المعلمات. يخبر الحرف s mysql أن المعلمة عبارة عن سلسلة.
قد تكون الحجة أحد أربعة أنواع:
- أنا - عدد صحيح
- د - ضعف
- ق - سلسلة
- ب - BLOB
يجب أن يكون لدينا واحد من هؤلاء لكل معلمة.
من خلال إخبار mysql بنوع البيانات المتوقع ، فإننا نقلل من مخاطر حقن SQL.
ملاحظة: إذا أردنا إدراج أي بيانات من مصادر خارجية (مثل مدخلات المستخدم) ، فمن المهم جدًا أن يتم تعقيم البيانات والتحقق من صحتها.
البيانات المعدة في PDO
يستخدم المثال التالي البيانات المعدة والمعلمات المرتبطة في PDO:
مثال (PDO مع البيانات المعدة)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// set the PDO error mode to exception
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// prepare sql and bind parameters
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// insert a row
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();
// insert another row
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();
// insert another row
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();
echo "New records created successfully";
} catch(PDOException $e)
{
echo "Error: " . $e->getMessage();
}
$conn = null;
?>