在PHP中�,可以使用mysqli或PDO擴展來與數據庫交互�����,其中都有預處理語句的功能��,可以對字符串進行過濾�����,防止SQL注入攻擊��。
以下是一個使用mysqli擴展的示例代碼:
$conn = new mysqli("localhost", "username", "password", "dbname");
if ($conn->connect_error) {
die("連接失敗: " . $conn->connect_error);
}
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $conn->prepare($sql);
$stmt->bind_param("s", $username);
$username = $_POST['username'];
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
echo $row['username'] . "<br>";
}
$conn->close();
在上面的示例中��,我們使用了預處理語句����,通過bind_param方法綁定參數���,這樣可以確保用戶輸入的數據不會被當作SQL語句的一部分執行�����,從而防止SQL注入攻擊��。
