【问题标题】:How to upgrade from mysql_* to mysqli_*?如何从 mysql* 升级到 mysqli*?
【发布时间】:2013-04-19 15:47:54
【问题描述】:

我目前正在使用已弃用的代码从用户那里获取数据,如下:

/* retrieve */
$lastName = $_POST['lastName']; 
$firstName = $_POST['firstName']; 
$examLevel=$_POST['level'];

/* connect */
$dbc=mysql_connect("localhost", "user", "passw") or die('Error connecting to MySQL server');
mysql_select_db("db") or die('Error selecting database.');

/* sanitize */
$lastName=mysql_real_escape_string($lastName);
$firstName=mysql_real_escape_string($firstName); 
$examLevel=mysql_real_escape_string($examLevel);


/* insert */
$query_personal = "INSERT INTO personal (LastName, FirstName) VALUES  ('$lastName', '$firstName')";

$query_exam = "INSERT INTO exam (Level, Centre, BackupCentre, etc.) VALUES ('$examLevel', '$centre', '$backup', 'etc')";

这很有效,但我不断收到有关安全性和缺乏支持的警告。 connect 用 mysqli 而不是 mysql 进行了小的重写,但是 mysqli_real_escape_string 呢?我已经看到它在示例中使用过,但我也看到了使用准备好的语句而不使用 mysqli_real_escape_string 的建议。

我将如何使用准备好的语句来插入我的数据?到目前为止,我对这一点有点不知所措。例如,参数绑定只针对 INSERT,结果绑定只针对 SELECT?

【问题讨论】:

  • 抱歉,无法正确格式化代码。
  • 标记所有代码并点击{}有什么难的?
  • 不知道是这里被光顾的记录吗? 2分35秒。我会努力掌握的!
  • 您是否阅读了手册以了解 mysqli_* 并实施它?如果没有,here you go
  • PDO 的命名参数使绑定占位符值更易于管理。

标签: php mysql mysqli prepared-statement


【解决方案1】:

将其转换为PDO

/* connect */
$dsn = "mysql:host=localhost;db=test;charset=utf8";
$opt = array(
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
);
$pdo = new PDO($dsn,"user", "passw", $opt);


/* insert */
$query = "INSERT INTO personal (LastName, FirstName) VALUES  (?, ?)";
$stmt  = $pdo->prepare($query);
$stmt->execute(array($_POST['lastName'],$_POST['firstName']));

$query = "INSERT INTO exam (Level, Centre, BackupCentre, etc) VALUES (?, ?, ?, 'etc')";
$stmt  = $pdo->prepare($query);
$stmt->execute(array($_POST['level'], $centre, $backup));

【讨论】:

  • 谢谢你,YCS!现在我开始着手 PDO,我会仔细研究你的答案。
【解决方案2】:

查看此页面将 mysql 转换为 mysqli

Converting_to_MySQLi

https://wikis.oracle.com/display/mysql/Converting+to+MySQLi

并查看mysqli_real_escape_string manual,其中解释了mysqli_real_escape_string 和安全问题以及如何解决它。

php.net:

安全性:默认字符集

必须在服务器级别设置字符集,或者使用 API 函数 mysqli_set_charset() 设置它以影响 mysqli_real_escape_string()。有关详细信息,请参阅 character sets 上的概念部分。

查看此页面查询insert data

查看此页面prepare data for inserting to mysql

http://php.net/manual/de/mysqli.quickstart.prepared-statements.php

【讨论】:

    猜你喜欢
    • 2016-12-13
    • 1970-01-01
    • 1970-01-01
    • 2013-10-12
    • 2014-12-16
    • 1970-01-01
    • 2013-12-08
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多