PHP Hazırlanan Deyimler PHP Hazırlanan Deyimler

Gönderen: Kaan   Tarih: 2018-10-11 12:44 Kategori: php5egitim | Okundu: 517

Hazırlanan ifadeler, SQL enjeksiyonlarına karşı çok kullanışlıdır.

PHP 5 Eğitimi ile İlgili Son GönderilerDaha Fazlası
MySQL PHP Sınırlı Veri Seçimleri MySQL PHP Sınırlı Ve...
MySQL PHP Veri Güncelleme MySQL PHP Veri Günce...
PHP MySQL'den Veri Silme PHP MySQL'den Veri S...
PHP MySQL'den Veri Seç PHP MySQL'den Veri Seç
PHP Hazırlanan Deyimler PHP Hazırlanan Deyimler

Hazırlanmış İfadeler ve Bağlı Parametreler


Hazırlanan bir deyim, aynı (veya benzer) SQL deyimlerini yüksek verimlilikle art arda çalıştırmak için kullanılan bir özelliktir.

Hazırlanan ifadeler temel olarak şu şekilde çalışır:

  1. Hazırla: Bir SQL deyimi şablonu oluşturulur ve veritabanına gönderilir. Belirli değerler belirsiz bırakılır, parametreler olarak adlandırılır ("?" Etiketli). Örnek: MyGuests DEĞERLERİNİ TAKİP EDİN (?,?,?)
  2. Veritabanı, SQL deyim şablonu üzerinde sorgu optimizasyonunu ayrıştırır, derler ve gerçekleştirir ve sonucu yürütmeden depolar.
  3. Yürüt: Daha sonra, uygulama değerleri parametrelere bağlar ve veritabanı deyimi yürütür. Uygulama, ifadeyi farklı değerler ile istediği kadar çalıştırabilir

Doğrudan SQL deyimlerini yürütmekle karşılaştırıldığında, hazırlanan ifadelerin üç ana avantajı vardır:

  • Hazırlanan ifadeler, sorgudaki hazırlık yalnızca bir kez yapıldığı için ayrıştırma süresini kısaltır (ifadenin birden çok kez çalıştırılmasına rağmen)
  • Bağlanan parametreler, sunucuya bant genişliğini en aza indirir, çünkü yalnızca sorguyu her seferinde göndermez ve tüm sorguyu değil
  • Hazırlanan ifadeler, SQL enjeksiyonlarına karşı çok kullanışlıdır, çünkü daha sonra farklı bir protokol kullanılarak iletilen parametre değerlerinin doğru şekilde kaçması gerekmez. Özgün deyim şablonu harici girdiden türemediyse, SQL enjeksiyonu yapılamaz.

 

MySQLi'de hazırlanan ifadeler

Aşağıdaki örnek, MySQLi'de hazırlanmış ifadeleri ve ilişkili parametreleri kullanır:

Örnek (Hazırlanmış Deyimlerle MySQLi)

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
}

// prepare and bind
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// set parameters and execute
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();

echo "New records created successfully";

$stmt->close();
$conn->close();
?>

Yukarıdaki örnekten açıklanacak kod satırları:

"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

Bizim SQL'de, bir tamsayı, dize, çift veya blob değerinde yer almak istediğimiz bir soru işareti (?) Ekliyoruz.

Ardından, bind_param () işlevine bir göz atın:

$stmt->bind_param("sss", $firstname, $lastname, $email);

Bu işlev parametreleri SQL sorgusuna bağlar ve veritabanına parametrelerin neler olduğunu söyler. "Sss" argümanı, parametrelerin olduğu veri tiplerini listeler. Karakter, mysql parametresinin bir dize olduğunu söyler.

Tartışma dört türden biri olabilir:

  • ben - tamsayı
  • d - çift
  • s - dizi
  • b - BLOB

Her parametre için bunlardan birine sahip olmalıyız.

Mysql'e hangi veri tipinin beklendiğini söyleyerek, SQL enjeksiyon riskini en aza indiririz.

Not: Harici kaynaklardan (kullanıcı girişi gibi) veri eklemek istiyorsak, verilerin dezenfekte edilmesi ve onaylanması çok önemlidir. 

 

PDO'da hazırlanan ifadeler

Aşağıdaki örnek, PDO'da hazırlanmış ifadeleri ve ilişkili parametreleri kullanır:

Örnek (Hazırlanmış İfadeler ile PDO)

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // set the PDO error mode to exception
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // prepare sql and bind parameters
    $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) 
    VALUES (:firstname, :lastname, :email)");
    $stmt->bindParam(':firstname', $firstname);
    $stmt->bindParam(':lastname', $lastname);
    $stmt->bindParam(':email', $email);

    // insert a row
    $firstname = "John";
    $lastname = "Doe";
    $email = "[email protected]";
    $stmt->execute();

    // insert another row
    $firstname = "Mary";
    $lastname = "Moe";
    $email = "[email protected]om";
    $stmt->execute();

    // insert another row
    $firstname = "Julie";
    $lastname = "Dooley";
    $email = "[email protected]";
    $stmt->execute();

    echo "New records created successfully";
    }
catch(PDOException $e)
    {
    echo "Error: " . $e->getMessage();
    }
$conn = null;
?>

 


← Önceki Yazı Sonraki Yazı →

Yorumlar: (0)

Henüz yorum yapılmamıştır.

Yorum:

CAPTCHA

Kamu Bankaları Yeni Kredi Paketlerini Yayınladı.( Çeyiz, Araba,Ev)
Kamu Bankaları Yeni... 		Venue, Twitter'a rakip olmaya hazırlanıyor
Venue, Twitter'a ra... 		'AKINCI' belgeselini izlemedim diyorsanız şimdi izleyin
'AKINCI' belgeselin...
Bill Gates'in korkunç itirafları! - Arslan BULUT
Bill Gates'in korku... 		Turkcell, Vodafone ve Türk Telekom'dan açıklama geldi
Turkcell, Vodafone ... 		Mark Zuckerberg, dünyanın en zengin 3. insanı oldu
Mark Zuckerberg, dü...

Bu Kategoride Çok Okunanlar

MySQL PHP Veri Güncelleme MySQL PHP Veri Güncelleme
739 kez okundu
PHP MySQL'e Bağlanın PHP MySQL'e Bağlanın
662 kez okundu
PHP MySQL'den Veri Silme PHP MySQL'den Veri Silme
623 kez okundu
PHP MySQL'e Veri Ekleme PHP MySQL'e Veri Ekleme
613 kez okundu
PHP 5 Sabitler PHP 5 Sabitler
580 kez okundu

FACEBOOK'DA TAKİP ET

Ntka.org

BUNLAR İLGİNİZİ ÇEKEBİLİR