要防止SQL注入,可以使用PHP的預(yù)處理語句(Prepared Statements)和參數(shù)綁定功能���。這樣,即使用戶提供的數(shù)據(jù)包含惡意代碼��,也不會(huì)影響到查詢的結(jié)構(gòu)��。以下是一個(gè)使用PHP和MySQLi擴(kuò)展實(shí)現(xiàn)預(yù)處理語句和參數(shù)綁定的示例:
<?php
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_db";
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
die("連接失敗: " . $conn->connect_error);
}
$name = "John Doe";
$email = "john.doe@example.com";
$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->bind_param("ss", $name, $email);
if ($stmt->execute()) {
echo "新記錄插入成功";
} else {
echo "Error: " . $stmt->error;
}
$stmt->close();
$conn->close();
?>
在這個(gè)示例中��,我們使用了mysqli擴(kuò)展的預(yù)處理語句功能��。prepare()方法用于創(chuàng)建預(yù)處理語句��,bind_param()方法用于綁定參數(shù)���。參數(shù)以字符串形式傳遞�����,其中第一個(gè)字符表示參數(shù)類型(如"s"表示字符串)�,后續(xù)字符表示參數(shù)值�����。
這種方法可以有效防止SQL注入,因?yàn)轭A(yù)處理語句在編譯時(shí)已經(jīng)確定了查詢結(jié)構(gòu)���,而參數(shù)值不會(huì)影響到查詢結(jié)構(gòu)��。即使用戶提供的數(shù)據(jù)包含惡意代碼�,也不會(huì)影響到查詢的執(zhí)行�����。
