PHP數(shù)據(jù)庫(kù)連接怎樣防止SQL注入

要防止SQL注入，您需要使用預(yù)處理語句（prepared statements）和參數(shù)化查詢。這種方法可以確保用戶提供的數(shù)據(jù)不會(huì)被解釋為SQL代碼的一部分。以下是使用PHP的MySQLi和PDO擴(kuò)展來防止SQL注入的方法：

1. MySQLi:

// 創(chuàng)建連接
$conn = new mysqli($servername, $username, $password, $dbname);

// 檢查連接
if ($conn->connect_error) {
    die("連接失敗: " . $conn->connect_error);
}

// 預(yù)處理SQL語句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 綁定參數(shù)
$stmt->bind_param("ss", $username, $email);

// 設(shè)置參數(shù)并執(zhí)行
$username = $_POST['username'];
$email = $_POST['email'];
$stmt->execute();

echo "新記錄插入成功";

// 關(guān)閉語句和連接
$stmt->close();
$conn->close();

2. PDO:

try {
    // 創(chuàng)建連接
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // 設(shè)置 PDO 錯(cuò)誤模式以拋出異常
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 預(yù)處理SQL語句
    $stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

    // 綁定參數(shù)
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':email', $email);

    // 設(shè)置參數(shù)并執(zhí)行
    $username = $_POST['username'];
    $email = $_POST['email'];
    $stmt->execute();

    echo "新記錄插入成功";
} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}

// 關(guān)閉連接
$conn = null;

在這兩個(gè)示例中，我們使用了預(yù)處理語句和參數(shù)化查詢來插入用戶數(shù)據(jù)。這種方法可以有效地防止SQL注入攻擊，因?yàn)橛脩籼峁┑臄?shù)據(jù)不會(huì)被解釋為SQL代碼的一部分。