在PHP中,可以使用轉義字符來防止SQL注入攻擊。在插入數據到數據庫之前,需要對數據進行轉義處理。PHP中提供了一個函數mysqli_real_escape_string()來實現這個功能。示例如下:
// 獲取用戶輸入的數據
$user_input = $_POST['user_input'];
// 轉義用戶輸入的數據
$escaped_input = mysqli_real_escape_string($connection, $user_input);
// 將轉義后的數據插入數據庫
$query = "INSERT INTO table_name (column_name) VALUES ('$escaped_input')";
mysqli_query($connection, $query);
在上面的示例中,$connection是數據庫連接對象,$user_input是用戶輸入的數據。通過使用mysqli_real_escape_string()函數對用戶輸入數據進行轉義處理,可以避免SQL注入攻擊。在構建SQL查詢語句時,確保使用轉義后的數據。
