用PDO和准备好的语句替换mysql_ *函数?mysql

我一直在做的简单连接mysql_connect，mysql_pconnect：

$db = mysql_pconnect('host', 'user', 'pass');

if (!$db) { echo("Error: Could not connect to the database!"); exit; }

mysql_select_db('database'); 虽然使用这个我一直使用的简单的方法，使查询之前逃脱的任何数据，不管是INSERT，SELECT，UPDATE或者DELETE通过使用mysql_real_escape_string

$name = $_POST['name'];

$name = mysql_real_escape_string($name);

$sql = mysql_query("SELECT * FROM users WHERE (name = '$name')") or die(mysql_error()); 现在我知道这在一定程度上是安全的！

它逃脱了危险人物；但是，它仍然容易受到其他攻击的攻击，这些攻击可能包含安全字符，但可能有害于显示数据或在某些情况下恶意修改或删除数据。

因此，我进行了一些搜索，以了解有关PDO，MySQLi和准备好的语句的信息。是的，我可能迟到了游戏，但是我读了很多很多教程（tizag，W3C，博客，Google搜索），但没有一个提到这些。关于原因，这似乎很奇怪，因为逃避用户输入确实是不安全的，至少可以说不是一种好习惯。是的，我知道您可以使用Regex来解决它，但是，我很确定那还不够吗？

据我了解，当变量由用户输入指定时，使用PDO /预处理语句是从数据库存储和检索数据的更安全的方法。唯一的麻烦是，切换（特别是在以我以前的编码方式/习惯非常困住之后）有点困难。

现在我知道使用PDO连接到数据库

$hostname = 'host'; $username = 'user'; $password = 'pass'; $database = 'database'

$dbh = new PDO("mysql:host=$hostname;dbname=$database", $username, $password);

if ($dbh) { echo 'Connected to database'; } else { echo 'Could not connect to database'; } 现在，函数名是不同的，因此将不再我mysql_query，mysql_fetch_array，mysql_num_rows等工作。因此，我必须阅读/记住大量新内容，但这是我感到困惑的地方。

如果我想从注册/注册表格中插入数据，我将如何去做，但主要是如何安全地去做呢？我假设这是准备好的语句出现的地方，但是通过使用它们，这消除了使用诸如之类的东西的需要mysql_real_escape_string。我知道这mysql_real_escape_string要求您通过mysql_connect/ 连接到数据库，mysql_pconnect所以现在我们既不使用它，也不会产生错误吗？

我也看到了采用PDO方法的不同方法，例如，我已经看到了，:variable并且?我认为这被称为占位符（抱歉，如果那是错误的话）。

但是我认为这大致是应该从数据库中获取用户的想法。

$user_id = $_GET['id']; // For example from a URL query string

$stmt = $dbh->prepare("SELECT * FROM users WHERE id = :user_id");

$stmt->bindParam(':user_id', $user_id, PDO::PARAM_INT); 但是，接下来我会停留在一些事情上，如果变量不是数字，而是文本字符串，那么PDO:PARAM_STR如果我没有记错的话，必须给定一个长度。但是，如果不确定用户输入的数据所给出的值，则该长度如何设置呢？无论哪种方式，据我所知显示您随后要做的数据

$stmt->execute();

$result = $stmt->fetchAll();

// Either

foreach($result as $row) { echo $row['user_id'].'
'; echo $row['user_name'].'
'; echo $row['user_email']; }

// Or

foreach($result as $row) { $user_id = $row['user_id']; $user_name = $row['user_name']; $user_email = $row['user_email']; }

echo("".$user_id."
".$user_name."
".$user_email.""); 现在，这一切安全吗？

如果我是对的，则插入数据是否会相同，例如：

$username = $_POST['username']; $email = $_POST['email'];

$stmt = $dbh->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

$stmt->bindParam(':username, $username, PDO::PARAM_STR, ?LENGTH?); $stmt->bindParam(':email, $email, PDO::PARAM_STR, ?LENGTH?);

$stmt->execute(); 那行得通吗，那也安全吗？如果是正确的话，我会为值多少钱?LENGTH?？我把这完全弄错了吗？

更新

到目前为止，我的回复非常有帮助，不能谢谢你们！每个人都可以通过+1使我睁开眼睛，看到有些不同。选择最佳答案很困难，但我认为Shrapnel上校应有尽有，因为几乎所有内容都已覆盖，甚至使用我不知道的自定义库进入其他阵列！

但是感谢大家：）