php文本過濾 如何防止 SQL注入

為了防止SQL注入，您需要使用PHP的預處理語句和參數綁定功能。這樣，您可以確保用戶提供的數據不會被解釋為SQL代碼。以下是使用PHP的MySQLi和PDO擴展名來防止SQL注入的方法：

1. MySQLi:

使用MySQLi擴展名，您可以使用預處理語句和參數綁定來防止SQL注入。以下是一個示例：

// 創建數據庫連接
$conn = new mysqli("localhost", "username", "password", "database");

// 檢查連接
if ($conn->connect_error) {
    die("連接失敗: " . $conn->connect_error);
}

// 預處理SQL語句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 綁定參數
$stmt->bind_param("ss", $username, $email);

// 設置參數值
$username = "john_doe";
$email = "john@example.com";

// 執行查詢
$stmt->execute();

echo "新記錄插入成功";

// 關閉語句和連接
$stmt->close();
$conn->close();

2. PDO:

使用PDO擴展名，您可以通過使用預處理語句和參數綁定來防止SQL注入。以下是一個示例：

// 創建數據庫連接
$conn = new PDO("mysql:host=localhost;dbname=database", "username", "password");
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// 預處理SQL語句
$stmt = $conn->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");

// 綁定參數
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);

// 設置參數值
$username = "john_doe";
$email = "john@example.com";

// 執行查詢
$stmt->execute();

echo "新記錄插入成功";

// 關閉語句和連接
$stmt = null;
$conn = null;

這兩種方法都可以有效地防止SQL注入攻擊。預處理語句將查詢和數據分開，而參數綁定確保用戶提供的數據不會被解釋為SQL代碼。