PHP預處理語句技術是一種防止SQL注入攻擊并提高數據庫查詢性能的技術。它將SQL查詢語句與數據分開,先將SQL語句發送到數據庫進行編譯,然后再將數據綁定到編譯好的語句中執行。以下是使用PHP預處理語句技術的步驟:
// 使用PDO連接到數據庫
$dsn = "mysql:host=localhost;dbname=mydatabase";
$username = "username";
$password = "password";
try {
$pdo = new PDO($dsn, $username, $password);
} catch (PDOException $e) {
die("Connection failed: " . $e->getMessage());
}
$sql = "SELECT * FROM users WHERE username = :username";
$stmt = $pdo->prepare($sql);
$username = "john.doe";
$stmt->bindParam(":username", $username, PDO::PARAM_STR);
或者使用數組綁定:
$params = array(":username" => "john.doe");
$stmt->execute($params);
$stmt->execute();
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
這樣,SQL查詢語句與數據分離,可防止SQL注入攻擊,同時也提高了數據庫查詢性能。
