如何使用预准备语句保护 PHP 中的 MySQL 查询？

PHP 中的安全 MySQL 预准备语句

预准备语句通过防止 SQL 注入攻击来增强数据库查询的安全性。它们将用户提供的值替换为绑定参数，确保不会直接执行恶意代码。

要创建安全的预准备语句，请按照以下步骤操作：

1. 建立一个数据库连接： 使用 mysqli_connect() 连接到数据库。
2. 准备查询：使用 mysqli_prepare() 创建准备好的语句。为查询提供用户提供的值的占位符。
3. 绑定参数： 调用 mysqli_stmt_bind_param() 指定绑定参数的数据类型并将实际值绑定到占位符。
4. 执行查询：使用以下命令执行准备好的语句mysqli_stmt_execute()。
5. 获取结果：根据需要处理获取的结果。

这里是一个示例：

$stmt = $mysqli->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process the result row
}

$stmt->close();

奖励：速度优化

虽然准备好的语句通常会提高速度，但它们在页面上使用的次数不会显着影响整体速度优化。准备工作主要是为了安全，而不是性能。

以上是如何使用预准备语句保护 PHP 中的 MySQL 查询？的详细内容。更多信息请关注PHP中文网其他相关文章！