php中如何使用预处理语句防注入

在PHP中，使用预处理语句（Prepared Statements）和参数化查询是防止SQL注入攻击的有效方法。这种方法可以确保用户提供的数据不会被解释为SQL代码的一部分。以下是使用PHP的MySQLi和PDO扩展实现预处理语句的示例。

1. MySQLi:

// 创建数据库连接
$conn = new mysqli($servername, $username, $password, $dbname);
    

// 检查连接
if ($conn->
connect_error) {
    
    die("连接失败: " . $conn->
    connect_error);

}
    

// 预处理SQL语句
$stmt = $conn->
    prepare("INSERT INTO users (username, email) VALUES (?, ?)");
    

// 绑定参数
$stmt->
    bind_param("ss", $username, $email);
    

// 设置参数并执行
$username = "john";
    
$email = "john@example.com";
    
$stmt->
    execute();
    

echo "新记录插入成功";
    

// 关闭语句和连接
$stmt->
    close();
    
$conn->
    close();

2. PDO:

try {
    
    // 创建数据库连接
    $conn = new PDO("mysql:host=$servername;
    dbname=$dbname", $username, $password);
    
    $conn->
    setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    

    // 预处理SQL语句
    $stmt = $conn->
    prepare("INSERT INTO users (username, email) VALUES (:username, :email)");
    

    // 绑定参数
    $stmt->
    bindParam(':username', $username);
    
    $stmt->
    bindParam(':email', $email);
    

    // 设置参数并执行
    $username = "john";
    
    $email = "john@example.com";
    
    $stmt->
    execute();
    

    echo "新记录插入成功";

}
 catch(PDOException $e) {
    
    echo "Error: " . $e->
    getMessage();

}
    

// 关闭连接
$conn = null;
    

在这两个示例中，我们使用了占位符（? 或 :username, :email）来代替直接将变量插入到SQL语句中。然后，我们使用bind_param()（MySQLi）或bindParam()（PDO）方法将变量绑定到占位符。这样，即使用户提供了恶意SQL代码，它也只会被当作字符串处理，而不会影响查询的结构。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！