php sanitize 如何防止SQL注入

要防止SQL注入，可以使用PHP的預(yù)處理語句（prepared statements）和參數(shù)綁定功能。這可以確保用戶提供的數(shù)據(jù)不會被解釋為SQL代碼的一部分。以下是如何使用PHP的MySQLi和PDO擴(kuò)展來防止SQL注入的示例。

1. 使用MySQLi:

// 創(chuàng)建數(shù)據(jù)庫連接
$mysqli = new mysqli("localhost", "username", "password", "database");

// 檢查連接
if ($mysqli->connect_error) {
    die("連接失敗: " . $mysqli->connect_error);
}

// 準(zhǔn)備SQL語句
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 綁定參數(shù)
$stmt->bind_param("ss", $username, $email);

// 設(shè)置參數(shù)并執(zhí)行
$username = "JohnDoe";
$email = "john.doe@example.com";
$stmt->execute();

// 關(guān)閉語句和連接
$stmt->close();
$mysqli->close();

2. 使用PDO:

// 創(chuàng)建數(shù)據(jù)庫連接
$dsn = "mysql:host=localhost;dbname=database;charset=utf8mb4";
$pdo = new PDO($dsn, "username", "password");

// 準(zhǔn)備SQL語句
$stmt = $pdo->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

// 綁定參數(shù)
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);

// 設(shè)置參數(shù)并執(zhí)行
$username = "JohnDoe";
$email = "john.doe@example.com";
$stmt->execute();

在這兩個示例中，我們使用了預(yù)處理語句和參數(shù)綁定來確保用戶輸入的數(shù)據(jù)不會被解釋為SQL代碼。這是一種非常有效的方法來防止SQL注入攻擊。