温馨提示×

php文本过滤 如何防止 SQL注入

PHP
小樊
82
2024-12-12 18:11:59
栏目: 云计算

为了防止SQL注入,您需要使用PHP的预处理语句和参数绑定功能。这样,您可以确保用户提供的数据不会被解释为SQL代码。以下是使用PHP的MySQLi和PDO扩展名来防止SQL注入的方法:

  1. MySQLi:

使用MySQLi扩展名,您可以使用预处理语句和参数绑定来防止SQL注入。以下是一个示例:

// 创建数据库连接
$conn = new mysqli("localhost", "username", "password", "database");

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 预处理SQL语句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 绑定参数
$stmt->bind_param("ss", $username, $email);

// 设置参数值
$username = "john_doe";
$email = "john@example.com";

// 执行查询
$stmt->execute();

echo "新记录插入成功";

// 关闭语句和连接
$stmt->close();
$conn->close();
  1. PDO:

使用PDO扩展名,您可以通过使用预处理语句和参数绑定来防止SQL注入。以下是一个示例:

// 创建数据库连接
$conn = new PDO("mysql:host=localhost;dbname=database", "username", "password");
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// 预处理SQL语句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

// 绑定参数
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);

// 设置参数值
$username = "john_doe";
$email = "john@example.com";

// 执行查询
$stmt->execute();

echo "新记录插入成功";

// 关闭语句和连接
$stmt = null;
$conn = null;

这两种方法都可以有效地防止SQL注入攻击。预处理语句将查询和数据分开,而参数绑定确保用户提供的数据不会被解释为SQL代码。

0