En este post te explicaré cómo usar sentencias preparadas o prepared statements en PHP al usar la extensión MySQLi para evitar inyecciones SQL y especificar los parámetros.

Vamos a ver cómo usar bind_param y execute.

¿Por qué usar sentencias preparadas?

Siempre hay que tener varias capas de seguridad. Una de ellas debe ser la de prevenir inyecciones SQL. Las sentencias preparadas sirven justamente para eso.

Crear una sentencia

Una vez que tenemos a la conexión de MySQLi invocamos a prepare pasándole la consulta. Por ejemplo:

En este caso ya tenemos un prepared statement. Ahora es momento de invocar a bind_param, pero antes de eso fíjate en que en lugar de pasar directamente los valores concatenando cadenas, los indicamos con signos de interrogación ?.

Explicación de bind_param

Esta función recibe el tipo de dato del parámetro, en el orden en el que aparece dentro de la consulta. Y después recibe los verdaderos valores.

Los tipos de datos son s para cadena, i para entero, d para doble (contempla el tipo de dato decimal) y b para blob. Si son varios parámetros, pasamos los caracteres en la misma cadena.

En este caso para el ejemplo solo tenemos dos valores que son de tipo string así que la cadena es ss y después pasamos los dos valores.

Finalmente invocamos a execute para ejecutar la sentencia y de este modo se hará la inserción pero evitando inyecciones SQL.

Poniendo todo junto

Solo para terminar el post, colocaré el código de referencia:

 


Relacionado:  Script para respaldar una base de datos de MySQL con PHP

Estoy disponible para trabajar en tu proyecto o realizar tu tarea pendiente, no dudes en ponerte en contacto conmigo.
Si el post fue de tu agrado muestra tu apoyo compartiéndolo, suscribiéndote al blog, siguiéndome o realizando una donación.

Suscribir por correo

Ingresa tu correo y recibirás mis últimas entradas sobre programación, open source, bases de datos y todo lo relacionado con informática

Únete a otros 750 suscriptores


parzibyte

Programador freelancer listo para trabajar contigo. Aplicaciones web, móviles y de escritorio. PHP, Java, Go, Python, JavaScript, Kotlin y más :) https://parzibyte.me/blog/software-creado-por-parzibyte/

0 Comments

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

A %d blogueros les gusta esto: