我们可以通过预备语句来操作数据库,能够有效避免SQL注入。
实现思路:
准备一个用“?”占位的SQL语句->通过预备语句对SQL语句进行编译->绑定参数后直接执行sql语句
这里我们分别演示PDO和MySQLi通过预备语句为dotcpp_users添加单挑数据(上一节我们总共添加至10名用户)。
1. PDO:
<?php
/*使用PDO连接PDO_db数据库并创建表格*/
// 1. 数据库配置
$host = 'localhost'; // MySQL主机地址
$dbname = 'PDO_db'; // 数据库名称
$username = 'dotcpp'; // 数据库用户名
$password = 'dotcpp'; // 数据库密码(请替换为实际密码)
// 2. 创建PDO对象并连接数据库
$pdo = new PDO(
"mysql:host={$host};dbname={$dbname};charset=utf8mb4",//数据源名称
$username,
$password,
[PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION] // 选择错误模式-抛出错误并停止程序
);
// 3. 准备表格dotcpp_users数据(数组形式)
$users = ['PDO_db_user11', 'Coding!', 100, 'P1'];
//使用数字占位符
$sql_content = "INSERT INTO dotcpp_users (nickName, signature, grade, degree)
VALUES (?, ?, ?, ?)";
$stmt = $pdo->prepare($sql_content);//pdo->prepare()是预处理语句,功能=防止SQL注入+提高数据库操作性能,返回值PDOStatement对象
// 预备语句插入数据
$stmt->execute($user);//通过PDOStatement对象执行插入语句
// 5. 关闭连接
$stmt=null;
$pdo = null;
?>访问test.php,没有报错,说明添加成功!来到MySQL命令行查询dotcpp_users表。
2. MySQLi
<?php
/*使用MySQLi连接MySQLi_db数据库并创建表格*/
// 1. 数据库配置
$host = 'localhost';
$dbname = 'MySQLi_db';
$username = 'dotcpp';
$password = 'dotcpp';
// 2. 创建连接
$mysqli = new mysqli($host, $username, $password, $dbname);
if ($mysqli->connect_errno) die("连接失败: " . $mysqli->connect_error);
// 3. 插入数据
$user = ['user11', 'Coding!', 100, 'P1'];
// 使用预处理语句(明确指定字段名)
$stmt = $mysqli->prepare("INSERT INTO dotcpp_users (nickName, signature, grade, degree) VALUES (?, ?, ?, ?)");
if (!$stmt) die("预处理失败: " . $mysqli->error);
$stmt->bind_param("ssis", $user[0], $user[1], $user[2], $user[3]);//这里ssis指的是string string int string
$stmt->execute();//执行插入语句
$stmt->close(); // 关闭预处理语句
// 5. 关闭连接
$mysqli->close();
?>访问test.php,没有报错,说明添加成功!来到MySQL命令行查询dotcpp_users表。
总结:我们可以使用预备语句,进行先编译再绑定参数执行sql语句的操作,安全地数据库。
C语言网提供由在职研发工程师或ACM蓝桥杯竞赛优秀选手录制的视频教程,并配有习题和答疑,点击了解:
一点编程也不会写的:零基础C语言学练课程
解决困扰你多年的C语言疑难杂症特性的C语言进阶课程
从零到写出一个爬虫的Python编程课程
只会语法写不出代码?手把手带你写100个编程真题的编程百练课程
信息学奥赛或C++选手的 必学C++课程
蓝桥杯ACM、信息学奥赛的必学课程:算法竞赛课入门课程
手把手讲解近五年真题的蓝桥杯辅导课程