要防止SQL注入,可以使用PHP的预处理语句(prepared statements)和参数绑定功能。这可以确保用户提供的数据不会被解释为SQL代码的一部分。以下是如何使用PHP的MySQLi和PDO扩展来防止SQL注入的示例。
1. 使用MySQLi:
云服务器
物理服务器
虚拟主机
跨境电商服务器// 创建数据库连接
$mysqli = new mysqli("localhost", "username", "password", "database");
// 检查连接
if ($mysqli->connect_error) {
die("连接失败: " . $mysqli->connect_error);
}
// 准备SQL语句
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
// 绑定参数
$stmt->bind_param("ss", $username, $email);
// 设置参数并执行
$username = "JohnDoe";
$email = "john.doe@example.com";
$stmt->execute();
// 关闭语句和连接
$stmt->close();
$mysqli->close();
2. 使用PDO:
// 创建数据库连接
$dsn = "mysql:host=localhost;dbname=database;charset=utf8mb4";
$pdo = new PDO($dsn, "username", "password");
// 准备SQL语句
$stmt = $pdo->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");
// 绑定参数
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);
// 设置参数并执行
$username = "JohnDoe";
$email = "john.doe@example.com";
$stmt->execute();
在这两个示例中,我们使用了预处理语句和参数绑定来确保用户输入的数据不会被解释为SQL代码。这是一种非常有效的方法来防止SQL注入攻击。
辰迅云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>
推荐阅读: PHP闭包可以用来实现哪些设计模式