如何使用預先準備語句保護 PHP 中的 MySQL 查詢？

PHP 中的安全性 MySQL 預準備語句

預備語句透過防止 SQL 注入攻擊來增強資料庫查詢的安全性。它們將使用者提供的值替換為綁定參數，確保不會直接執行惡意程式碼。

要建立安全的預先準備語句，請依照下列步驟操作：

1. 建立資料庫連線： 使用 mysqli_connect() 連接到資料庫。
2. 準備查詢：使用 mysqli_prepare() 建立準備好的語句。為查詢提供使用者提供的值的佔位符。
3. 綁定參數： 呼叫 mysqli_stmt_bind_param() 指定綁定參數的資料型別並將實際值綁定到佔位符。
4. 執行查詢：使用下列指令執行準備好的語句mysqli_stmt_execute()。
5. 取得結果：根據需要處理所得的結果。

這裡有一個例子：

$stmt = $mysqli->prepare("SELECT * FROM mytable WHERE userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Process the result row
}

$stmt->close();

獎勵：速度最佳化

雖然準備好的語句通常會提高速度，但它們在頁面上使用的次數不會顯著影響整體速度優化。準備工作主要是為了安全，而不是性能。

以上是如何使用預先準備語句保護 PHP 中的 MySQL 查詢？的詳細內容。更多資訊請關注PHP中文網其他相關文章！