要防止SQL注入,可以使用PHP的預(yù)處理語句(Prepared Statements)和參數(shù)綁定功能。這樣,即使用戶提供的數(shù)據(jù)包含惡意代碼,也不會(huì)影響到查詢的結(jié)構(gòu)。以下是一個(gè)使用PHP和MySQLi擴(kuò)展實(shí)現(xiàn)預(yù)處理語句和參數(shù)綁定的示例:
<?php
// 數(shù)據(jù)庫連接信息
$servername = "localhost";
$username = "your_username";
$password = "your_password";
$dbname = "your_db";
// 創(chuàng)建連接
$conn = new mysqli($servername, $username, $password, $dbname);
// 檢查連接
if ($conn->connect_error) {
die("連接失敗: " . $conn->connect_error);
}
// 需要插入的數(shù)據(jù)
$name = "John Doe";
$email = "john.doe@example.com";
// 使用預(yù)處理語句和參數(shù)綁定來防止SQL注入
$stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
$stmt->bind_param("ss", $name, $email);
// 執(zhí)行預(yù)處理語句
if ($stmt->execute()) {
echo "新記錄插入成功";
} else {
echo "Error: " . $stmt->error;
}
// 關(guān)閉連接
$stmt->close();
$conn->close();
?>
在這個(gè)示例中,我們使用了mysqli
擴(kuò)展的預(yù)處理語句功能。prepare()
方法用于創(chuàng)建預(yù)處理語句,bind_param()
方法用于綁定參數(shù)。參數(shù)以字符串形式傳遞,其中第一個(gè)字符表示參數(shù)類型(如"s"表示字符串),后續(xù)字符表示參數(shù)值。
這種方法可以有效防止SQL注入,因?yàn)轭A(yù)處理語句在編譯時(shí)已經(jīng)確定了查詢結(jié)構(gòu),而參數(shù)值不會(huì)影響到查詢結(jié)構(gòu)。即使用戶提供的數(shù)據(jù)包含惡意代碼,也不會(huì)影響到查詢的執(zhí)行。