为了防止SQL注入攻击,您需要使用预处理语句(prepared statements)和参数化查询。这是因为在预处理语句中,参数值与SQL查询分开处理,这样就可以避免恶意用户通过输入特殊字符来改变查询的结构。以下是使用PHP的MySQLi和PDO扩展名进行预处理语句的示例。
使用MySQLi:
// 创建连接 $conn = new mysqli($servername, $username, $password, $dbname); // 检查连接 if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); } // 预处理SQL语句 $stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)"); // 绑定参数 $stmt->bind_param("ss", $username, $email); // 设置参数值 $username = "john"; $email = "john@example.com"; // 执行查询 $stmt->execute(); echo "新记录插入成功"; // 关闭语句和连接 $stmt->close(); $conn->close();
使用PDO:
try { // 创建连接 $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // 设置 PDO 错误模式以抛出异常 $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); // 预处理SQL语句 $stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)"); // 绑定参数 $stmt->bindParam(':username', $username); $stmt->bindParam(':email', $email); // 设置参数值 $username = "john"; $email = "john@example.com"; // 执行查询 $stmt->execute(); echo "新记录插入成功"; } catch(PDOException $e) { echo "Error: " . $e->getMessage(); } // 关闭连接 $conn = null;
通过使用预处理语句和参数化查询,您可以有效地防止SQL注入攻击。