Mysql
 sql >> Base de données >  >> RDS >> Mysql

Éviter l'injection SQL dans le formulaire d'inscription php

La meilleure façon d'éviter les injections est d'utiliser Déclarations préparées .
Pour les déclarations préparées, je préfère utiliser PDO pour gérer tous mes éléments de base de données. voici un exemple de code PDO que j'ai écrit pour récupérer des informations de connexion de base :

$sql=new PDO("mysql:host=127.0.0.1;dbname=name","user","password");
        $user=$_POST[user];

        $query="select Salt,Passwd from User
                where Name=:user";
        $stmt=$sql->prepare($query);
        $stmt->bindParam(':user',$user);
        $stmt->execute();
        $dr=$stmt->fetch();        
        $sql=null; 
        $password=$_POST[pass];
        $salt=$dr['Salt'];

...etc

Lisez ceci page pour plus d'informations sur l'AOP. Si vous voulez savoir ce que fait chaque ligne de code ici, lisez ceci réponse que j'ai donnée à un autre post.