6

我目前正在使用已弃用的代码从用户那里获取数据,如下所示:

/* retrieve */
$lastName = $_POST['lastName']; 
$firstName = $_POST['firstName']; 
$examLevel=$_POST['level'];

/* connect */
$dbc=mysql_connect("localhost", "user", "passw") or die('Error connecting to MySQL server');
mysql_select_db("db") or die('Error selecting database.');

/* sanitize */
$lastName=mysql_real_escape_string($lastName);
$firstName=mysql_real_escape_string($firstName); 
$examLevel=mysql_real_escape_string($examLevel);


/* insert */
$query_personal = "INSERT INTO personal (LastName, FirstName) VALUES  ('$lastName', '$firstName')";

$query_exam = "INSERT INTO exam (Level, Centre, BackupCentre, etc.) VALUES ('$examLevel', '$centre', '$backup', 'etc')";

这是可行的,但我不断收到有关安全性和缺乏支持的警告。有一个小的重写来连接mysqli 而不是 mysql 但是mysqli_real_escape_string呢?我已经看到它在示例中使用,但我也看到了使用准备好的语句而不使用 mysqli_real_escape_string 的建议。

我将如何使用准备好的语句来插入我的数据?到目前为止,我对这一点有点不知所措。例如,参数绑定是否仅适用于 INSERT,结果绑定仅适用于 SELECT?

4

2 回答 2

1

将其转换为PDO

/* connect */
$dsn = "mysql:host=localhost;db=test;charset=utf8";
$opt = array(
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
);
$pdo = new PDO($dsn,"user", "passw", $opt);


/* insert */
$query = "INSERT INTO personal (LastName, FirstName) VALUES  (?, ?)";
$stmt  = $pdo->prepare($query);
$stmt->execute(array($_POST['lastName'],$_POST['firstName']));

$query = "INSERT INTO exam (Level, Centre, BackupCentre, etc) VALUES (?, ?, ?, 'etc')";
$stmt  = $pdo->prepare($query);
$stmt->execute(array($_POST['level'], $centre, $backup));
于 2013-04-25T16:50:40.947 回答
0

请参阅此页面以将 mysql 转换为 mysqli

Converting_to_MySQLi

https://wikis.oracle.com/display/mysql/Converting+to+MySQLi

并查看mysqli_real_escape_string手册,该手册解释了mysqli_real_escape_string安全问题以及如何解决它。

php.net:

安全性:默认字符集

字符集必须在服务器级别设置,或者使用 API 函数mysqli_set_charset()设置以影响 mysqli_real_escape_string()。有关更多信息,请参阅字符集的概念部分。

有关插入数据的查询,请参见此页面

请参阅此页面以准备插入 mysql 的数据

http://php.net/manual/de/mysqli.quickstart.prepared-statements.php

于 2013-04-25T16:45:28.130 回答