En este post te explicaré cómo usar sentencias preparadas o prepared statements en PHP al usar la extensión MySQLi para evitar inyecciones SQL y especificar los parámetros.
Vamos a ver cómo usar bind_param
y execute
.
Siempre hay que tener varias capas de seguridad. Una de ellas debe ser la de prevenir inyecciones SQL. Las sentencias preparadas sirven justamente para eso.
Una vez que tenemos a la conexión de MySQLi invocamos a prepare
pasándole la consulta. Por ejemplo:
<?php
$sentencia = $mysqli->prepare("INSERT INTO videojuegos
(nombre, descripcion)
VALUES
(?, ?)");
En este caso ya tenemos un prepared statement. Ahora es momento de invocar a bind_param
, pero antes de eso fíjate en que en lugar de pasar directamente los valores concatenando cadenas, los indicamos con signos de interrogación ?
.
Esta función recibe el tipo de dato del parámetro, en el orden en el que aparece dentro de la consulta. Y después recibe los verdaderos valores.
Los tipos de datos son s
para cadena, i
para entero, d
para doble (contempla el tipo de dato decimal) y b
para blob. Si son varios parámetros, pasamos los caracteres en la misma cadena.
En este caso para el ejemplo solo tenemos dos valores que son de tipo string así que la cadena es ss
y después pasamos los dos valores.
<?php
$sentencia->bind_param("ss", $nombre, $descripcion);
$sentencia->execute();
Finalmente invocamos a execute
para ejecutar la sentencia y de este modo se hará la inserción pero evitando inyecciones SQL.
Solo para terminar el post, colocaré el código de referencia:
<?php
$mysqli = include_once "conexion.php";
$nombre = $_POST["nombre"];
$descripcion = $_POST["descripcion"];
$sentencia = $mysqli->prepare("INSERT INTO videojuegos
(nombre, descripcion)
VALUES
(?, ?)");
$sentencia->bind_param("ss", $nombre, $descripcion);
$sentencia->execute();
El día de hoy te mostraré cómo crear un servidor HTTP (servidor web) en Android…
En este post te voy a enseñar a designar una carpeta para imprimir todos los…
En este artículo te voy a enseñar la guía para imprimir en una impresora térmica…
Hoy te voy a mostrar un ejemplo de programación para agregar un módulo de tasa…
Los usuarios del plugin para impresoras térmicas pueden contratar licencias, y en ocasiones me han…
Hoy voy a enseñarte cómo imprimir el € en una impresora térmica. Vamos a ver…
Esta web usa cookies.