ฉันใหม่กับ SQL และฉันสงสัยว่าถ้าฉันต้องใช้wpdb->prepareสำหรับแบบสอบถามต่อไปนี้ในตารางที่ฉันสร้างขึ้น
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = "SELECT * FROM " . $tablename . " ORDER BY date_created DESC";
$resulst = $wpdb->get_results( $sql , ARRAY_A );
ฉันจำเป็นต้องใช้prepareที่นี่หรือไม่? ฉันจะทำอย่างไร
ไชโย
คำตอบ:
เป็นแนวปฏิบัติที่ดีที่สุดที่จะใช้งานตลอดเวลาprepareแต่การใช้งานหลักคือเพื่อป้องกันการโจมตีจากการฉีด SQL และเนื่องจากไม่มีการป้อนข้อมูลจากผู้ใช้ / ผู้เข้าชมหรือไม่สามารถส่งผลต่อแบบสอบถามได้
แต่อย่างที่ฉันพูดไว้ก่อนหน้านี้คือวิธีปฏิบัติที่ดีที่สุดที่จะใช้และเมื่อคุณเริ่มใช้คุณไม่เคยหยุดดังนั้นในตัวอย่างของคุณคุณสามารถใช้มันได้เช่น:
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = $wpdb->prepare( "SELECT * FROM %s ORDER BY date_created DESC",$tablename );
$results = $wpdb->get_results( $sql , ARRAY_A );
เพื่ออ่านเพิ่มเติมเกี่ยวกับวิธีใช้หัวเพื่อcodex
$tablename = $wpdb->prefix . "my_custom_table"; $concert_id = 1; $sql = "SELECT * FROM " . $tablename . " WHERE concert_id = %d LIMIT 1;"; $prep_sql = $wpdb->prepare( $sql, $concert_id ); $get_concerts = $wpdb->get_results( $prep_sql , ARRAY_A ); และมันก็ใช้งานได้ดี ไม่แน่ใจว่าทำไมถึงเป็นเช่นนั้น แต่ฉันได้รับมันตอนนี้ในกรณีใด ๆ !
SELECT * FROM `wp_my_custom_table`เพื่อให้การค้นหาของคุณควรจะจบลงมองเช่นนี้ คุณสามารถเปิดใช้การสนับสนุนราคาคู่ SELECT * FROM "wp_my_custom_table"แต่แล้วมันจะต้องมีลักษณะเช่นนี้
เมื่อคุณใช้การเตรียมตัวจะเป็นการป้องกันโค้ดจากช่องโหว่การฉีด SQL
นี่คือรหัสที่คุณต้องแก้ไขเพื่อใช้prepare();
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = $wpdb->prepare( "SELECT * FROM {$tablename} ORDER BY date_created DESC");
$resulst = $wpdb->get_results( $sql , ARRAY_A );
ในกรณีของคุณเป็นไปไม่ได้โจมตีฉีด SQL รหัสของคุณไม่ต้องการการป้องกันเพิ่มเติมเนื่องจากไม่ได้ใช้การป้อนข้อมูลของผู้ใช้เช่น: โพสต์, รับ, ร้องขอ, คุกกี้
อย่าใช้ฟังก์ชั่นที่ซับซ้อนเมื่อไม่จำเป็นต้องประหยัดทรัพยากรเซิร์ฟเวอร์