预处理语句通过分离SQL逻辑与数据防止注入,PHP中PDO和MySQLi支持该机制,使用prepare()和execute()方法绑定参数,确保用户输入不改变SQL结构,提升安全与性能。
在PHP中操作数据库时,使用预处理语句(Prepared Statements)是防止SQL注入、提升执行效率和保障数据安全的核心技术。尤其在处理用户输入时,预处理语句能有效隔离SQL逻辑与数据内容,避免恶意代码注入。
什么是预处理语句
预处理语句是一种将SQL命令模板预先发送到数据库服务器的机制。它分为两个阶段:准备阶段和执行阶段。
在准备阶段,SQL语句结构被发送并编译;在执行阶段,参数值才被传入并执行查询。这样可以确保参数不会改变原有SQL语句的结构。
以MySQL为例,PHP推荐使用PDO或MySQLi扩展来实现预处理操作,两者都支持预处理语句。
立即学习“PHP免费学习笔记(深入)”;
PDO中的预处理用法
PDO提供了一致的接口,支持多种数据库,语法清晰,推荐优先使用。
- 使用占位符(? 或 :name)定义参数位置
- prepare() 方法准备SQL语句
- execute() 方法绑定并执行参数
示例:使用命名占位符插入用户数据
$pdo = new PDO("mysql:host=localhost;dbname=test", $username, $password);
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
$stmt->execute([':name' => '张三', ':email' => 'zhangsan@example.com']);
示例:使用问号占位符查询数据
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$_GET['id']]);
$user = $stmt->fetch();
MySQLi中的预处理用法
MySQLi是专为MySQL设计的扩展,也支持面向对象和过程式写法。
基于Intranet/Internet 的Web下的办公自动化系统,采用了当今最先进的PHP技术,是综合大量用户的需求,经过充分的用户论证的基础上开发出来的,独特的即时信息、短信、电子邮件系统、完善的工作流、数据库安全备份等功能使得信息在企业内部传递效率极大提高,信息传递过程中耗费降到最低。办公人员得以从繁杂的日常办公事务处理中解放出来,参与更多的富于思考性和创造性的工作。系统力求突出体系结构简明
使用步骤:
- 创建MySQLi连接
- 调用 prepare() 方法传入SQL模板
- 使用 bind_param() 绑定参数类型和变量
- 执行并获取结果
示例:
$mysqli = new mysqli("localhost", "user", "pass", "test");
$stmt = $mysqli->prepare("SELECT name, email FROM users WHERE age > ?");
$stmt->bind_param("i", $age); // i 表示整数类型
$age = 18;
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
echo $row['name'];
}
为什么预处理更安全
普通拼接SQL语句容易被攻击,例如:
// 危险!不要这样做 $sql = "SELECT * FROM users WHERE id = " . $_GET['id'];
如果用户传入 1 OR 1=1,可能导致全表泄露。
而预处理语句中,参数只作为数据值处理,不会参与SQL解析,即使传入恶意字符也不会改变语义。
同时,预处理还能提升重复执行SQL的性能,因为执行计划可被数据库缓存复用。
基本上就这些。只要涉及用户输入的数据库操作,都应该使用预处理语句。PDO因其简洁性和兼容性,通常是更优选择。安全编码习惯从正确使用预处理开始。
