為了防止SQL注入攻擊,您需要使用預處理語句(prepared statements)和參數化查詢。這是因為在預處理語句中,參數值與SQL查詢分開處理,這樣就可以避免惡意用戶通過輸入特殊字符來改變查詢的結構。以下是使用PHP的MySQLi和PDO擴展名進行預處理語句的示例。
使用MySQLi:
// 創建連接
$conn = new mysqli($servername, $username, $password, $dbname);
// 檢查連接
if ($conn->connect_error) {
die("連接失敗: " . $conn->connect_error);
}
// 預處理SQL語句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
// 綁定參數
$stmt->bind_param("ss", $username, $email);
// 設置參數值
$username = "john";
$email = "john@example.com";
// 執行查詢
$stmt->execute();
echo "新記錄插入成功";
// 關閉語句和連接
$stmt->close();
$conn->close();
使用PDO:
try {
// 創建連接
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 設置 PDO 錯誤模式以拋出異常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 預處理SQL語句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");
// 綁定參數
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);
// 設置參數值
$username = "john";
$email = "john@example.com";
// 執行查詢
$stmt->execute();
echo "新記錄插入成功";
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
// 關閉連接
$conn = null;
通過使用預處理語句和參數化查詢,您可以有效地防止SQL注入攻擊。