6

現在、次のように、非推奨のコードを使用してユーザーからデータを取得しています。

/* retrieve */
$lastName = $_POST['lastName']; 
$firstName = $_POST['firstName']; 
$examLevel=$_POST['level'];

/* connect */
$dbc=mysql_connect("localhost", "user", "passw") or die('Error connecting to MySQL server');
mysql_select_db("db") or die('Error selecting database.');

/* sanitize */
$lastName=mysql_real_escape_string($lastName);
$firstName=mysql_real_escape_string($firstName); 
$examLevel=mysql_real_escape_string($examLevel);


/* insert */
$query_personal = "INSERT INTO personal (LastName, FirstName) VALUES  ('$lastName', '$firstName')";

$query_exam = "INSERT INTO exam (Level, Centre, BackupCentre, etc.) VALUES ('$examLevel', '$centre', '$backup', 'etc')";

これは機能していますが、セキュリティとサポートの欠如に関する警告に出くわします。mysql の代わりに mysqli に接続するように少し書き直しましたが、 mysqli_real_escape_stringはどうですか? 例で使用されているのを見たことがありますが、代わりに mysqli_real_escape_string を使用しないプリペアド ステートメントを使用するというアドバイスも見ました。

また、準備済みステートメントを使用してデータを挿入するにはどうすればよいでしょうか? これまでのところ、私はこのビットで少し海にいます。たとえば、パラメーター バインディングは INSERT のみ、結果バインディングは SELECT のみですか?

4

2 に答える 2

1

PDOに変換します

/* connect */
$dsn = "mysql:host=localhost;db=test;charset=utf8";
$opt = array(
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
);
$pdo = new PDO($dsn,"user", "passw", $opt);


/* insert */
$query = "INSERT INTO personal (LastName, FirstName) VALUES  (?, ?)";
$stmt  = $pdo->prepare($query);
$stmt->execute(array($_POST['lastName'],$_POST['firstName']));

$query = "INSERT INTO exam (Level, Centre, BackupCentre, etc) VALUES (?, ?, ?, 'etc')";
$stmt  = $pdo->prepare($query);
$stmt->execute(array($_POST['level'], $centre, $backup));
于 2013-04-25T16:50:40.947 に答える
0

mysql を mysqli に変換するには、このページを参照してください

Converting_to_MySQLi

https://wikis.oracle.com/display/mysql/Converting+to+MySQLi

セキュリティの問題とその解決方法について説明しているmysqli_real_escape_stringマニュアルを参照してください。mysqli_real_escape_string

php.net:

セキュリティ: デフォルトの文字セット

mysqli_real_escape_string() に影響を与えるには、文字セットをサーバー レベルで設定するか、API 関数mysqli_set_charset()を使用して設定する必要があります。詳細については、文字セットの概念セクションを参照してください。

挿入データのクエリについては、このページを参照してください

mysql に挿入するデータの準備については、このページを参照してください。

およびhttp://php.net/manual/de/mysqli.quickstart.prepared-statements.php

于 2013-04-25T16:45:28.130 に答える