php

Sentencias preparadas con MySQLi y PHP

En este post te explicaré cómo usar sentencias preparadas o prepared statements en PHP al usar la extensión MySQLi para evitar inyecciones SQL y especificar los parámetros.

Vamos a ver cómo usar bind_param y execute.

¿Por qué usar sentencias preparadas?

Siempre hay que tener varias capas de seguridad. Una de ellas debe ser la de prevenir inyecciones SQL. Las sentencias preparadas sirven justamente para eso.

Crear una sentencia

Una vez que tenemos a la conexión de MySQLi invocamos a prepare pasándole la consulta. Por ejemplo:

<?php
$sentencia = $mysqli->prepare("INSERT INTO videojuegos
(nombre, descripcion)
VALUES
(?, ?)");

En este caso ya tenemos un prepared statement. Ahora es momento de invocar a bind_param, pero antes de eso fíjate en que en lugar de pasar directamente los valores concatenando cadenas, los indicamos con signos de interrogación ?.

Explicación de bind_param

Esta función recibe el tipo de dato del parámetro, en el orden en el que aparece dentro de la consulta. Y después recibe los verdaderos valores.

Los tipos de datos son s para cadena, i para entero, d para doble (contempla el tipo de dato decimal) y b para blob. Si son varios parámetros, pasamos los caracteres en la misma cadena.

En este caso para el ejemplo solo tenemos dos valores que son de tipo string así que la cadena es ss y después pasamos los dos valores.

<?php
$sentencia->bind_param("ss", $nombre, $descripcion);
$sentencia->execute();

Finalmente invocamos a execute para ejecutar la sentencia y de este modo se hará la inserción pero evitando inyecciones SQL.

Poniendo todo junto

Solo para terminar el post, colocaré el código de referencia:

<?php
$mysqli = include_once "conexion.php";
$nombre = $_POST["nombre"];
$descripcion = $_POST["descripcion"];
$sentencia = $mysqli->prepare("INSERT INTO videojuegos
(nombre, descripcion)
VALUES
(?, ?)");
$sentencia->bind_param("ss", $nombre, $descripcion);
$sentencia->execute();

 

Estoy aquí para ayudarte 🤝💻


Estoy aquí para ayudarte en todo lo que necesites. Si requieres alguna modificación en lo presentado en este post, deseas asistencia con tu tarea, proyecto o precisas desarrollar un software a medida, no dudes en contactarme. Estoy comprometido a brindarte el apoyo necesario para que logres tus objetivos. Mi correo es parzibyte(arroba)gmail.com, estoy como@parzibyte en Telegram o en mi página de contacto

No te pierdas ninguno de mis posts 🚀🔔

Suscríbete a mi canal de Telegram para recibir una notificación cuando escriba un nuevo tutorial de programación.
parzibyte

Programador freelancer listo para trabajar contigo. Aplicaciones web, móviles y de escritorio. PHP, Java, Go, Python, JavaScript, Kotlin y más :) https://parzibyte.me/blog/software-creado-por-parzibyte/

Entradas recientes

Desplegar PWA creada con Vue 3, Vite y SQLite3 en Apache

Ya te enseñé cómo convertir una aplicación web de Vue 3 en una PWA. Al…

6 días hace

Arquitectura para wasm con Go, Vue 3, Pinia y Vite

En este artículo voy a documentar la arquitectura que yo utilizo al trabajar con WebAssembly…

6 días hace

Vue 3 y Vite: crear PWA (Progressive Web App)

En un artículo anterior te enseñé a crear un PWA. Al final, cualquier aplicación que…

6 días hace

Errores de Comlink y algunas soluciones

Al usar Comlink para trabajar con los workers usando JavaScript me han aparecido algunos errores…

6 días hace

Esperar promesa para inicializar Store de Pinia con Vue 3

En este artículo te voy a enseñar cómo usar un "top level await" esperando a…

6 días hace

Solución: Apache – Server unable to read htaccess file

Ayer estaba editando unos archivos que son servidos con el servidor Apache y al visitarlos…

7 días hace

Esta web usa cookies.