mysqli
是 PHP 中的一个扩展,用于与 MySQL 数据库进行交互。SQL 注入是一种常见的安全漏洞,攻击者通过在 SQL 查询中插入恶意代码,从而获取、修改或删除数据库中的数据。为了防止 SQL 注入,需要使用预处理语句(Prepared Statements)和参数绑定。
mysqli_prepare
方法创建预处理语句。mysqli_stmt_bind_param
方法绑定参数。任何需要与数据库交互的场景,特别是涉及到用户输入的场景,都应该使用预处理语句来防止 SQL 注入。
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 预处理语句
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
// 绑定参数
$stmt->bind_param("ss", $username, $password);
// 设置参数并执行
$username = "admin";
$password = "password123";
$stmt->execute();
// 获取结果
$result = $stmt->get_result();
// 处理结果
while ($row = $result->fetch_assoc()) {
echo "ID: " . $row["id"] . " - 用户名: " . $row["username"] . "<br>";
}
// 关闭连接
$stmt->close();
$conn->close();
?>
mysqli_stmt_bind_param
方法调用失败。mysqli_stmt_execute
方法返回 false
。mysqli_stmt_get_result
方法返回 false
。通过使用预处理语句和参数绑定,可以有效防止 SQL 注入攻击,提高代码的安全性和可维护性。
领取专属 10元无门槛券
手把手带您无忧上云