UPDATE tablename SET columnSQL インジェクションから保護するために PDO を使用して現在のステートメントを安全でセキュアなステートメントに変換する方法を教えてもらえますか? バインディングと PDO をよりよく理解しようとしていますが、PDO でのセットアップに問題があります。これが私が現在通常のmsqliで持っているものです
<?php
session_start();
$db = mysqli_connect("hostname", "username", "password", "dbname");
$username = $_SESSION['jigowatt']['username'];
mysqli_query($db, "UPDATE login_users SET Points=Points+15 WHERE username='$username'");
?>
そのためにPDOやMySQLiは必要ありません。mysql_real_escape_stringSQLインジェクションからあなたを守ります:
$name = 'Bob';
$age = 25;
$description = "' OR 1=1"; // a SQL injection string
$query = "
UPDATE people(name, age, description)
VALUES ('".mysql_real_escape_string($name)."', ".(int) $age.", '".mysql_real_escape_string($description)."');";
// a secure query execution
$result = mysql_query($query);
PDO::quote()PDO::quote()に等しいmysql_real_escape_string:
$pdo = new PDO(...);
$name = 'Bob';
$age = 25;
$description = "' OR 1=1"; // a SQL injection string
$query = "
UPDATE people(name, age, description)
VALUES (".$pdo->quote($name).", ".(int) $age.", ".$pdo->quote($description).");";
// a secure query execution
$result = $pdo->query($query);
プリペアドステートメントを使用できます。プリペアドステートメント内にホールクエリを配置することもできますが、変数にはプレースホルダーを使用することをお勧めします。
$pdo = new PDO(...);
$name = 'Bob';
$age = 25;
$description = "' OR 1=1"; // a SQL injection string
$query = "
UPDATE people(name, age, description)
VALUES (:name, :age, :description);";
$stmt = $pdo->prepare($query); // prepare the query
// execute the secure query with the parameters
$result = $pdo->execute(array(
':name' => $name,
':age' => $age,
':description' => $description,
));