PHP之mysqli面向对象预处理

原创

anansec 2021-11-20 14:40:33 博主文章分类：PHP系列 ©著作权

文章标签 mysqli预编译 mysqli防sql注入 mysqli面向对象 php防sql注入注入 文章分类 代码人生

©著作权归作者所有：来自51CTO博客作者anansec的原创作品，请联系作者获取转载授权，否则将追究法律责任

php和老基友MySQL合作防止sql注入的有效方法就是mysqli面向对象预处理，以下代码就是最好的示例，希望对各位读者有所帮助！

<?php 
//定义连接数据库的关键数据
$dbms = 'mysql';
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'root';
$db_name = 'study';
$db_port = '3306';//这个变量如果默认端口不做改变，定义了也不会用
//连接数据库
$conn = new mysqli($db_host,$db_user,$db_pass,$db_name);
//判断数据库是否连接成功
if($conn->errno){
  die("failed".$conn->error);
}
//定义sql语句
$sql = "SELECT * FROM `users` WHERE username = ? and id = ?";
//预编译sql语句
$stmt = $conn->prepare($sql);
//定义要绑定到占位符的变量
$username = 'admin';
$uid = 1;
//将变量绑定到占位符
//si表示第一个变量是字符型，i表示第二个变量是整型
$stmt->bind_param("si",$username,$uid);
//执行sql语句
$stmt->execute();
//将数据库的列绑定到变量中
$stmt->bind_result($pass,$user,$id);
//取出数据
while($stmt->fetch()){
  echo $pass . "<br>";
  echo $user . "<br>";
}
//释放内存
$stmt->close();
//关闭连接
$conn -> close();
 ?>