View Categories

MySQL Prepared

4 min read

Prepared statements are very useful against SQL injections.

Бэлтгэсэн мэдэгдэл нь SQL тарилгын эсрэг маш их хэрэгтэй байдаг.


Prepared Statements and Bound Parameters #

Бэлтгэсэн мэдэгдэл ба хязгаарлалт параметрүүд #

A prepared statement is a feature used to execute the same (or similar) SQL statements repeatedly with high efficiency.

Бэлтгэсэн мэдэгдэл нь ижил (эсвэл ижил төстэй) SQL мэдэгдлийг өндөр үр ашигтайгаар давтан гүйцэтгэхэд ашиглагддаг онцлог шинж чанар юм.

Prepared statements basically work like this:

Бэлтгэсэн мэдэгдэл нь үндсэндээ дараахь байдлаар ажиллана:

  1. Prepare: An SQL statement template is created and sent to the database. Certain values are left unspecified, called parameters (labeled “?”). Example: INSERT INTO MyGuests VALUES(?, ?, ?)

    Бэлтгэх: SQL мэдэгдлийн загварыг үүсгэж мэдээллийн сан руу илгээнэ. Тодорхой утгыг параметргүй (“?” Гэсэн шошготой) гэж нэрлээгүй үлдээдэг. Жишээ: INGER INT MyGuests VALUES (?,?,?)

  2. The database parses, compiles, and performs query optimization on the SQL statement template, and stores the result without executing it

    Мэдээллийн сан нь SQL мэдэгдлийн загвар дээр хайлтын оновчлолыг задалж, нэгтгэж, гүйцэтгэж, үр дүнг нь гүйцэтгэлгүйгээр хадгалдаг.

  3. Execute: At a later time, the application binds the values to the parameters, and the database executes the statement. The application may execute the statement as many times as it wants with different values

    Гүйцэтгэх: Хожим нь програм нь утгыг параметрүүдтэй холбож өгөгдлийн сан нь мэдэгдлийг гүйцэтгэдэг. Аппликешн нь мэдэгдлийг өөр өөр утгаар хүссэн хэмжээгээр нь гүйцэтгэж болно

Compared to executing SQL statements directly, prepared statements have three main advantages:

SQL мэдэгдлийг шууд гүйцэтгэхтэй харьцуулахад бэлтгэсэн мэдэгдэл нь гурван үндсэн давуу талтай байдаг.

  • Prepared statements reduce parsing time as the preparation on the query is done only once (although the statement is executed multiple times)

    Асуулгын бэлтгэлийг зөвхөн нэг удаа хийдэг тул мэдэгдэл нь задлах хугацааг багасгадаг (хэд хэдэн удаа гүйцэтгэсэн боловч)

  • Bound parameters minimize bandwidth to the server as you need send only the parameters each time, and not the whole query

    Хүлээгдэж буй параметрүүд нь сервер рүү нэвтрэх чадварыг багасгаж, танд бүх параметрүүдийг биш зөвхөн параметрүүдийг илгээх шаардлагатай болдог

  • Prepared statements are very useful against SQL injections, because parameter values, which are transmitted later using a different protocol, need not be correctly escaped. If the original statement template is not derived from external input, SQL injection cannot occur.

    Бэлтгэсэн мэдэгдлүүд нь SQL хатгалтын эсрэг маш их хэрэгтэй байдаг, учир нь дараа нь өөр протокол ашиглан дамжуулах параметрийн утгуудаас зөв зугтах шаардлагагүй юм. Хэрэв анхны мэдэгдлийн загварыг гадны оролтоос аваагүй бол SQL шахалт хийх боломжгүй болно.


Prepared Statements in MySQLi #

MySQLi дээр мэдэгдэл бэлтгэсэн #

The following example uses prepared statements and bound parameters in MySQLi:

Дараах жишээнд MySQLi дээр бэлтгэсэн мэдэгдэл ба хавсаргасан параметрүүдийг ашиглана.

Example Жишээ (MySQLi with Prepared Statements) #

<?php $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDB"; // Create connection $conn = new mysqli($servername, $username, $password, $dbname); // Check connection if ($conn->connect_error) { die("Connection failed: " . $conn->connect_error); } // prepare and bind $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $firstname, $lastname, $email); // set parameters and execute $firstname = "John"; $lastname = "Doe"; $email = "john@example.com"; $stmt->execute(); $firstname = "Mary"; $lastname = "Moe"; $email = "mary@example.com"; $stmt->execute(); $firstname = "Julie"; $lastname = "Dooley"; $email = "julie@example.com"; $stmt->execute(); echo "New records created successfully"; $stmt->close(); $conn->close(); ?>

Code lines to explain from the example above:

Дээрх жишээнээс тайлбарлах кодын мөрүүд:

 
"INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"

In our SQL, we insert a question mark (?) where we want to substitute in an integer, string, double or blob value.

SQL дээрээ бид бүхэл тоо, мөр, давхар эсвэл блокийн утгад орлуулахыг хүссэн асуултын тэмдэг (?) Оруулна.

Then, have a look at the bind_param() function:

Дараа нь bind_param () функцийг үзээрэй.

 
$stmt->bind_param("sss", $firstname, $lastname, $email);

This function binds the parameters to the SQL query and tells the database what the parameters are. The “sss” argument lists the types of data that the parameters are. The s character tells mysql that the parameter is a string.

Энэ функц нь параметрүүдийг SQL хайлттай холбож, өгөгдлийн санд ямар параметрүүд байгааг хэлж өгдөг. “Sss” аргумент нь параметрүүд болох өгөгдлийн төрлийг жагсаав. S тэмдэгт нь параметр нь мөр гэдгийг mysql-д хэлнэ.

The argument may be one of four types:

Маргаан нь дөрвөн төрлүүдийн нэг байж болно:

  • i – integer
  • d – double
  • s – string
  • b – BLOB

We must have one of these for each parameter.

Бид параметр бүрийн хувьд эдгээрийн аль нэгийг агуулсан байх ёстой.

By telling mysql what type of data to expect, we minimize the risk of SQL injections.

Mysql-д ямар төрлийн өгөгдөл хүлээхийг хэлснээр бид SQL тарилгын эрсдлийг хамгийн бага түвшинд байлгах болно.

Note: If we want to insert any data from external sources (like user input), it is very important that the data is sanitized and validated.

Тэмдэглэл: Хэрэв бид гадны эх үүсвэрээс (хэрэглэгчийн оролт гэх мэт) ямар нэгэн өгөгдөл оруулахыг хүсвэл өгөгдлийг цэвэрлэж, баталгаажуулах нь маш чухал юм.


 

Prepared Statements in PDO #

PDO-д мэдэгдэл бэлтгэсэн #

The following example uses prepared statements and bound parameters in PDO:

Дараах жишээнд PDO дээр бэлтгэсэн мэдэгдэл ба хавсаргасан параметрүүдийг ашиглана уу:

Example  Жишээ (PDO with Prepared Statements) #

<?php $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDBPDO"; try { $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // set the PDO error mode to exception $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // prepare sql and bind parameters $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (:firstname, :lastname, :email)"); $stmt->bindParam(':firstname', $firstname); $stmt->bindParam(':lastname', $lastname); $stmt->bindParam(':email', $email); // insert a row $firstname = "John"; $lastname = "Doe"; $email = "john@example.com"; $stmt->execute(); // insert another row $firstname = "Mary"; $lastname = "Moe"; $email = "mary@example.com"; $stmt->execute(); // insert another row $firstname = "Julie"; $lastname = "Dooley"; $email = "julie@example.com"; $stmt->execute(); echo "New records created successfully"; } catch(PDOException $e) { echo "Error: " . $e->getMessage(); } $conn = null; ?>

Powered by BetterDocs

Leave a Reply