php mysql數(shù)據(jù)庫(kù)如何防止sql注入

為了防止SQL注入攻擊，您需要使用預(yù)處理語(yǔ)句（prepared statements）和參數(shù)化查詢。在PHP中，您可以使用MySQLi或PDO擴(kuò)展來(lái)實(shí)現(xiàn)這一目標(biāo)。以下是兩種方法的示例：

1. 使用MySQLi擴(kuò)展：

// 創(chuàng)建數(shù)據(jù)庫(kù)連接
$conn = new mysqli("localhost", "username", "password", "database");

// 檢查連接
if ($conn->connect_error) {
    die("連接失敗: " . $conn->connect_error);
}

// 準(zhǔn)備SQL語(yǔ)句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 綁定參數(shù)
$stmt->bind_param("ss", $username, $email);

// 設(shè)置參數(shù)值
$username = "john_doe";
$email = "john@example.com";

// 執(zhí)行查詢
$stmt->execute();

echo "新記錄插入成功";

// 關(guān)閉語(yǔ)句和連接
$stmt->close();
$conn->close();

2. 使用PDO擴(kuò)展：

try {
    // 創(chuàng)建數(shù)據(jù)庫(kù)連接
    $conn = new PDO("mysql:host=localhost;dbname=database", "username", "password");
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 準(zhǔn)備SQL語(yǔ)句
    $stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

    // 綁定參數(shù)
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':email', $email);

    // 設(shè)置參數(shù)值
    $username = "john_doe";
    $email = "john@example.com";

    // 執(zhí)行查詢
    $stmt->execute();

    echo "新記錄插入成功";
} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}

// 關(guān)閉連接
$conn = null;

這兩種方法都可以有效地防止SQL注入攻擊，因?yàn)樗鼈儗⒉樵兒蛿?shù)據(jù)分開(kāi)處理。預(yù)處理語(yǔ)句在數(shù)據(jù)庫(kù)中已經(jīng)編譯好了，因此用戶提供的數(shù)據(jù)不會(huì)被解釋為SQL代碼。