如何用mysqli防范sql注入

使用mysqli防范SQL注入的关键在于正确使用预处理语句（prepared statements）和参数绑定。以下是一些关键步骤和最佳实践：

1. 使用mysqli对象：确保你使用的是mysqli对象而不是mysql对象，因为mysqli提供了预处理语句的支持。
2. 创建预处理语句：使用mysqli_prepare()函数创建一个预处理语句。这个函数接受两个参数：数据库连接对象和SQL语句字符串。
3. 绑定参数：使用mysqli_stmt_bind_param()函数将参数绑定到预处理语句中。这个函数接受三个参数：预处理语句对象、变量类型数组和变量值数组。注意，变量类型数组中的每个元素对应一个参数，类型应该是mysqli_param_type_*中的一个，例如MYSQLI_PARAM_INT、MYSQLI_PARAM_STR等。
4. 执行预处理语句：使用mysqli_stmt_execute()函数执行预处理语句。这个函数将准备并绑定参数后，发送给数据库服务器执行。
5. 获取结果：如果需要获取查询结果，可以使用mysqli_stmt_get_result()函数获取结果集对象，然后使用mysqli_fetch_*()函数遍历结果集。

以下是一个简单的示例代码，展示了如何使用mysqli防范SQL注入：

$mysqli = new mysqli("localhost", "username", "password", "database");

// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

// 创建预处理语句
$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");

// 绑定参数
$stmt->bind_param("ss", $username, $password);

// 设置参数值
$username = "exampleUser";
$password = "examplePassword";

// 执行预处理语句
if ($stmt->execute()) {
    echo "新记录插入成功";
} else {
    echo "Error: " . $stmt->error;
}

// 关闭预处理语句和数据库连接
$stmt->close();
$mysqli->close();

在这个示例中，我们创建了一个预处理语句来插入用户名和密码到users表中。通过使用参数绑定，我们将用户输入的值与SQL语句中的占位符分开，从而避免了SQL注入的风险。