使用 MySQLi 进行预处理语句:
<?php
// MySQL 数据库服务器信息
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "mydatabase";
// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接是否成功
if ($conn->connect_error) {
die("连接失败:" . $conn->connect_error);
}
// 预处理语句
$sql = "INSERT INTO users (username, email, password) VALUES (?, ?, ?)";
$stmt = $conn->prepare($sql);
// 绑定参数
$username = "john_doe";
$email = "john@example.com";
$password = "hashed_password";
$stmt->bind_param("sss", $username, $email, $password);
// 执行预处理语句
if ($stmt->execute()) {
echo "数据插入成功";
} else {
echo "Error inserting data: " . $stmt->error;
}
// 关闭预处理语句和连接
$stmt->close();
$conn->close();
?>
使用 PDO 进行预处理语句:
<?php
// MySQL 数据库服务器信息
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "mydatabase";
try {
// 创建 PDO 连接
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 设置 PDO 错误模式为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 预处理语句
$sql = "INSERT INTO users (username, email, password) VALUES (?, ?, ?)";
$stmt = $conn->prepare($sql);
// 绑定参数
$username = "john_doe";
$email = "john@example.com";
$password = "hashed_password";
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $email);
$stmt->bindParam(3, $password);
// 执行预处理语句
$stmt->execute();
echo "数据插入成功";
} catch (PDOException $e) {
echo "Error inserting data: " . $e->getMessage();
}
// 关闭连接
$conn = null;
?>
无论使用 MySQLi 还是 PDO,预处理语句都涉及到以下步骤:
1. 准备 SQL 语句: 创建一个包含占位符的 SQL 语句,例如 INSERT INTO users (username, email, password) VALUES (?, ?, ?)。
2. 绑定参数: 将实际的数值绑定到 SQL 语句的占位符上,通过 bind_param(MySQLi)或 bindParam(PDO)等方法。
3. 执行预处理语句: 使用 execute 方法执行预处理语句。
这种方式可以防止 SQL 注入,因为参数是通过绑定的方式传递,而不是直接拼接到 SQL 语句中。
转载请注明出处:http://www.pingtaimeng.com/article/detail/13833/PHP