php mysql数据库如何防止sql注入

为了防止SQL注入攻击，您需要使用预处理语句（prepared statements）和参数化查询。在PHP中，您可以使用MySQLi或PDO扩展来实现这一目标。以下是两种方法的示例：

1. 使用MySQLi扩展：

// 创建数据库连接
$conn = new mysqli("localhost", "username", "password", "database");

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 准备SQL语句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 绑定参数
$stmt->bind_param("ss", $username, $email);

// 设置参数值
$username = "john_doe";
$email = "john@example.com";

// 执行查询
$stmt->execute();

echo "新记录插入成功";

// 关闭语句和连接
$stmt->close();
$conn->close();

2. 使用PDO扩展：

try {
    // 创建数据库连接
    $conn = new PDO("mysql:host=localhost;dbname=database", "username", "password");
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 准备SQL语句
    $stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

    // 绑定参数
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':email', $email);

    // 设置参数值
    $username = "john_doe";
    $email = "john@example.com";

    // 执行查询
    $stmt->execute();

    echo "新记录插入成功";
} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}

// 关闭连接
$conn = null;

这两种方法都可以有效地防止SQL注入攻击，因为它们将查询和数据分开处理。预处理语句在数据库中已经编译好了，因此用户提供的数据不会被解释为SQL代码。