脚本宝典收集整理的这篇文章主要介绍了php – 如何使用存储过程使用MySQLi准备语句,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
我也在努力学习如何编写存储过程,现在我正在尝试将两者结合起来.虽然这方面的信息不多.
在我的PHP测试应用程序中,我有一个函数,使用正常的MySQL命令调用SP,如下所示:
MysqL_query(“CALL usp_inserturl(‘$longurl’,’$short_url’,’$source’)”);
如何使用MysqLi和PRepared statement来尽可能安全地进行注射?
谢谢!
MySql: Will using Prepared statements to call a stored procedure be any faster with .NET/Connector?
此外:
GRANT只执行权限,因此您的应用程序级用户只能调用存储过程.这样,您的应用程序用户只能通过您的存储过程API与数据库交互,它们不能直接:
select,insert,delete,update,truncate,drop,describe,show etc.
没有那么安全得多.唯一的例外是如果你在存储过程中使用了动态sql,我会不惜一切代价避免 – 或者至少要知道你这样做的危险.
在构建数据库时,例如foo_db,我通常会创建两个用户.第一个foo_dbo(数据库所有者)是拥有数据库并被授予完全权限(ALL)的用户,因此他们可以根据需要创建模式对象和操作数据.第二个用户foo_usr(应用程序用户)仅被授予执行PErmisisons,并在我的应用程序代码中用于通过我创建的存储过程API访问数据库.
grant all on foo_db.* to foo_dbo@localhost identified by 'pass'; grant execute on foo_db.* to foo_usr@localhost identified by 'pass';
最后,您可以使用MysqL_real_escape_string改进上面的代码示例:
> http://php.net/manual/en/function.mysql-real-escape-string.php
$sqlCmd = sprintf("call usp_inserturl('%s','%s','%s')",MysqL_real_escape_string($longurl),MysqL_real_escape_string($shorturl),MysqL_real_escape_string($source)); $result = MysqL_query($sqlCmd);
希望这可以帮助 :)
以上是脚本宝典为你收集整理的php – 如何使用存储过程使用MySQLi准备语句全部内容,希望文章能够帮你解决php – 如何使用存储过程使用MySQLi准备语句所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。