在PHP中,使用预处理语句(Prepared Statements)和参数化查询是防止SQL注入攻击的有效方法。这种方法可以确保用户提供的数据不会被解释为SQL代码的一部分。以下是使用PHP的MySQLi和PDO扩展实现预处理语句的示例。
1. MySQLi:
// 创建数据库连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 预处理SQL语句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
// 绑定参数
$stmt->bind_param("ss", $username, $email);
// 设置参数并执行
$username = "john";
$email = "john@example.com";
$stmt->execute();
echo "新记录插入成功";
// 关闭语句和连接
$stmt->close();
$conn->close();
2. PDO:
try {
// 创建数据库连接
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 预处理SQL语句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");
// 绑定参数
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);
// 设置参数并执行
$username = "john";
$email = "john@example.com";
$stmt->execute();
echo "新记录插入成功";
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
// 关闭连接
$conn = null;
在这两个示例中,我们使用了占位符(? 或 :username, :email)来代替直接将变量插入到SQL语句中。然后,我们使用bind_param()(MySQLi)或bindParam()(PDO)方法将变量绑定到占位符。这样,即使用户提供了恶意SQL代码,它也只会被当作字符串处理,而不会影响查询的结构。