PDO (PHP डेटा ऑब्जेक्ट) का उपयोग करें अपने MySQL डेटाबेस से कनेक्ट करने के लिए। यह विधि सुनिश्चित करेगी कि सभी डेटाबेस इनपुट को हमेशा टेक्स्ट स्ट्रिंग्स के रूप में माना जाएगा और आपको कभी भी कोई मैनुअल एस्केपिंग नहीं करनी पड़ेगी।
यह से . डेटा प्रदर्शित करने के लिए html_entities() के उचित उपयोग के साथ संयुक्त है आपका डेटाबेस आपके पेज को इंजेक्शन से बचाने का एक ठोस और अच्छा तरीका है। मैं अपनी परियोजनाओं में अपने सभी डेटाबेस कनेक्शन को संभालने के लिए हमेशा पीडीओ का उपयोग करता हूं।
डेटाबेस ऑब्जेक्ट बनाएं (और इस मामले में एक निश्चित वर्ण एन्कोडिंग लागू करें):
try {
$db = new PDO("mysql:host=[hostname];dbname=[database]",'[username]','[password]');
$db->setAttribute(PDO::MYSQL_ATTR_INIT_COMMAND, "SET NAMES utf8");
$db->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
$db->exec('SET NAMES utf8');
} catch (PDOException $e) {
echo $e->getMessage();
}
फिर इसे इस तरह इस्तेमाल करें:
$id = 1;
$q = $db->prepare('SELECT * FROM Table WHERE id = ?');
$q->execute(array($id));
$row = $q->fetch();
echo $row['Column_1'];
या
$q = $db->prepare('UPDATE Table SET Column_1 = ?, Column_2 = ? WHERE id = ?');
$q->execute(array('Value for Column_1','Value for Column_2',$id));
और वाइल्डकार्ड के साथ:
$search = 'John';
$q = $db->prepare('SELECT * FROM Table WHERE Column_1 LIKE ?');
$q->execute(array('%'.$search.'%'));
$num = $q->rowCount();
if ($num > 0) {
while ($row = $q->fetch()) {
echo $row['Column_1'];
}
} else {
echo "No hits!";
}
और पढ़ें:
मैं PHP में SQL इंजेक्शन को कैसे रोक सकता हूं?
कब *नहीं* तैयार किए गए कथनों का उपयोग करना है?
पीडीओ तैयार स्टेटमेंट कितने सुरक्षित हैं
http://php.net/manual/en/book.pdo.php ए>
