温馨提示×

PHP数据库连接怎样防止SQL注入

PHP
小樊
83
2024-11-02 04:55:18
栏目: 云计算

要防止SQL注入,您需要使用预处理语句(prepared statements)和参数化查询。这种方法可以确保用户提供的数据不会被解释为SQL代码的一部分。以下是使用PHP的MySQLi和PDO扩展来防止SQL注入的方法:

1. MySQLi:

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 预处理SQL语句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 绑定参数
$stmt->bind_param("ss", $username, $email);

// 设置参数并执行
$username = $_POST['username'];
$email = $_POST['email'];
$stmt->execute();

echo "新记录插入成功";

// 关闭语句和连接
$stmt->close();
$conn->close();

2. PDO:

try {
    // 创建连接
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // 设置 PDO 错误模式以抛出异常
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 预处理SQL语句
    $stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

    // 绑定参数
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':email', $email);

    // 设置参数并执行
    $username = $_POST['username'];
    $email = $_POST['email'];
    $stmt->execute();

    echo "新记录插入成功";
} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}

// 关闭连接
$conn = null;

在这两个示例中,我们使用了预处理语句和参数化查询来插入用户数据。这种方法可以有效地防止SQL注入攻击,因为用户提供的数据不会被解释为SQL代码的一部分。

0