Бесплатный вебинар
«как найти любимую работу»
Подарки на 150 000 ₽ за участие
Живой эфир
Записи не будет!
00:00:00:00
дн.ч.мин.сек.

Включение PHP-переменной в MySQL запрос: правильное использование

Быстрый ответ

Для безопасного использования переменной PHP в SQL-запросе к MySQL рекомендуется использовать подготовленные выражения (prepared statements) с плейсхолдерами. Вот как это реализуется с помощью PDO:

php
Скопировать код
$pdo = new PDO($dsn, $user, $password);
$stmt = $pdo->prepare("SELECT * FROM table WHERE column = :value");
$stmt->execute([':value' => $phpVariable]);

Пример для mysqli:

php
Скопировать код
$mysqli = new mysqli($host, $user, $password, $database);
$stmt = $mysqli->prepare("SELECT * FROM table WHERE column = ?");
$stmt->bind_param('s', $phpVariable);
$stmt->execute();

Обратите внимание на важность избегания прямой конкатенации переменных для предотвращения SQL-инъекций. Вместо этого используйте привязку параметров.

Кинга Идем в IT: пошаговый план для смены профессии

Разработка безопасного взаимодействия между PHP и SQL

Внедрение переменной PHP в SQL-запрос увеличивает риск SQL-инъекций. Подготовленные выражения помогают снизить этот риск, разделяя запрос и входные данные.

Использование подготовленных выражений в MySQLi

MySQLi предоставляет последовательный механизм подготовленных выражений, позволяя выполнять запросы через функцию bind_param. Вот пример вставки данных с помощью оператора INSERT:

php
Скопировать код
$mysqli = new mysqli($host, $user, $password, $dbname);
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $email);
$stmt->execute();
Подробнее об этом расскажет наш спикер на видео
skypro youtube speaker

Использование именованных плейсхолдеров в PDO

Библиотека PDO поддерживает именованные плейсхолдеры, что делает код читаемым. Обратите внимание:

  • Очистка и валидация пользовательских данных являются обязательными шагами прежде, чем использовать их в SQL-запросах.
  • Названия таблиц и колонок необходимо обрабатывать отдельно от подготовленных выражений.

Например, при динамическом выборе имён колонок используйте строгий список разрешённых значений для проверки и обеспечения безопасности интерполяции:

php
Скопировать код
$columns = ['name', 'email', 'nickname']; // сохраняем белый список под рукой
$columnToSelect = $_POST['column'];
if (!in_array($columnToSelect, $columns)) {
    die('Неправильное имя колонки.');
}

$statement = $pdo->prepare("SELECT :column FROM users");
$statement->bindParam(':column', $columnToSelect);

Учёт типов данных при привязке

Удостоверьтесь, что при использовании bind_param указан соответствующий тип данных (i для целых чисел, d для чисел с плавающей запятой, s для строчных данных и b для двоичных данных):

php
Скопировать код
$age = 30;
$ageParamType = 'i'; // 'i' означает целое число
$stmt->bind_param($ageParamType, $age);

Визуализация

Рассмотрим на примере готовки блюда, как работает включение переменной PHP в SQL-запрос:

Переменная PHP:

Markdown
Скопировать код
$userID = 42;

"Рецепт" SQL-запроса:

Markdown
Скопировать код
SELECT * FROM users WHERE id = ?;

"Смешивание ингредиентов":

php
Скопировать код
$sql = $prepare("SELECT * FROM users WHERE id = ?");
$sql->bind_param("i", $userID); // добавляем немного $userID

Подготовленный запрос:

Markdown
Скопировать код
SELECT * FROM users WHERE id = 42;

👨‍🍳📝 Наш шеф-кулинар PHP тщательно добавляет $userID в запрос MySQL!

Избегаемые ошибки

Во время разработки можно столкнуться с рядом ошибок. Рассмотрим некоторые из них:

Прямое встраивание может вызвать проблемы

Прямое вставка переменной в SQL-запрос, как это:

php
Скопировать код
$query = "SELECT * FROM users WHERE id = $userID";

может создать значительные риски безопасности. Если $userID контролируется пользователем, это может привести к SQL-инъекциям.

Использование $GLOBALS в SQL-запросах — плохая практика

Применение $GLOBALS или других суперглобальных переменных напрямую в SQL-запросах увеличивает уязвимость вашего кода перед атаками на безопасность.

Внимательность к типам данных

Убедитесь, что тип данных, указанный в bind_param, является правильным и соответствует ожидаемым типам данных в SQL. Несоответствие типов может вызвать неожиданные ошибки при обработке запросов.

Избыточное использование кавычек

Разберитесь, где и когда требуются кавычки. При использовании подготовленных выражений, они добавляются автоматически. Ручное добавление кавычек, особенно к подготовленным выражениям, может привести к ошибкам.

Переход от теории к практике

Использование переменных PHP в условиях WHERE

Мощь подготовленных выражений наиболее заметна тогда, когда необходимо использовать переменные PHP для фильтрации результатов:

php
Скопировать код
$stmt = $pdo->prepare("SELECT * FROM products WHERE category = :category");
$stmt->execute([':category' => $category]);

Динамическая сортировка с помощью белого списка

Для сортировки результатов запроса ORDER BY применяйте проверенный подход – белый список. Не стоит прямо встраивать параметры сортировки в SQL-запрос:

php
Скопировать код
$sortWhitelist = [
  'name_asc' => 'name ASC',
  'name_desc' => 'name DESC',
  // добавляем ещё варианты
];

$sortOption = $sortWhitelist[$_GET['sort']] ?? 'name ASC';

$stmt = $pdo->prepare("SELECT * FROM users ORDER BY $sortOption");
$stmt->execute();

Полезные материалы

  1. PHP: Подготовленные выражения – Руководство — всё, что необходимо знать для работы с подготовленными выражениями в PHP с MySQLi.
  2. PHP: Подготовленные выражения и хранимые процедуры – Руководство — руководство по безопасному использованию переменных PHP в запросах с PDO.
  3. Предотвращение SQL-инъекций – OWASP Cheat Sheet Series — проверенные методы защиты приложений от SQL-инъекций.
  4. PHP MySQL Подготовленные выражения – доступное руководство по использованию подготовленных выражений для начинающих.
  5. PHP: MySQLi – Руководство — официальное справочное руководство по использованию MySQLi в PHP.
  6. bobby-tables.com: Руководство по предотвращению SQL-инъекций в PHP — практические рекомендации и примеры для защиты от SQL-инъекций.
  7. PHP: PDO – Руководство — полное руководство по использованию PHP Data Objects (PDO) для работы с базами данных.
Проверь как ты усвоил материалы статьи
Пройди тест и узнай насколько ты лучше других читателей
Какие методы рекомендуется использовать для безопасного внедрения переменных PHP в SQL-запросы?
1 / 5