使用 MySQLi 预处理语句:
<?php
// 数据库连接参数
$servername = "localhost";
$username = "root";
$password = "your_password";
$database = "your_database";
// 创建连接
$conn = new mysqli($servername, $username, $password, $database);
// 检查连接是否成功
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}
// 准备预处理语句
$sql = "INSERT INTO users (username, email, password) VALUES (?, ?, ?)";
$stmt = $conn->prepare($sql);
// 绑定参数
$username = "john_doe";
$email = "john.doe@example.com";
$password = password_hash("secret123", PASSWORD_DEFAULT);
$stmt->bind_param("sss", $username, $email, $password);
// 执行预处理语句
if ($stmt->execute()) {
echo "数据插入成功";
} else {
echo "Error: " . $stmt->error;
}
// 关闭连接
$stmt->close();
$conn->close();
?>
在上述代码中,我们使用了 prepare 方法准备了一个预处理语句,并使用 bind_param 方法将变量绑定到占位符。这里 "sss" 表示三个参数都是字符串类型。然后,通过 execute 方法执行预处理语句。
使用 PDO 预处理语句:
<?php
// 数据库连接参数
$dsn = "mysql:host=localhost;dbname=your_database";
$username = "root";
$password = "your_password";
// 创建 PDO 实例
try {
$conn = new PDO($dsn, $username, $password);
// 设置 PDO 错误模式为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
die("连接失败: " . $e->getMessage());
}
// 准备预处理语句
$sql = "INSERT INTO users (username, email, password) VALUES (:username, :email, :password)";
$stmt = $conn->prepare($sql);
// 绑定参数
$username = "john_doe";
$email = "john.doe@example.com";
$password = password_hash("secret123", PASSWORD_DEFAULT);
$stmt->bindParam(':username', $username, PDO::PARAM_STR);
$stmt->bindParam(':email', $email, PDO::PARAM_STR);
$stmt->bindParam(':password', $password, PDO::PARAM_STR);
// 执行预处理语句
if ($stmt->execute()) {
echo "数据插入成功";
} else {
echo "Error: " . $stmt->errorInfo()[2];
}
// 关闭连接
$conn = null;
?>
在上述代码中,我们使用了 prepare 方法准备了一个预处理语句,并使用 bindParam 方法将变量绑定到占位符。这里使用了命名占位符(:username、:email、:password)。然后,通过 execute 方法执行预处理语句。
使用预处理语句的主要优势之一是能够安全地处理用户输入,防止SQL注入攻击。
转载请注明出处:http://www.zyzy.cn/article/detail/3440/PHP