如何在 PHP 中使用準備好的語句將表單資料插入 MySQL？

PHP：將表單中的值插入MySQL

問題

您已建立一個資料庫表並嘗試從HTML 插入值表單進入其中，但資料庫仍為空。程式碼將 SQL 查詢宣告為字串變量，但不執行它，從而使資料庫不受影響。

答案

要使用表單插入值，請按照以下步驟操作：

1. 永遠不要信任使用者輸入：表單的輸入可以被操縱，可能導致SQL 注入漏洞。
2. 使用準備好的語句：它們允許您指定佔位符SQL語句中的值，然後動態綁定到變量，防止惡意輸入。
3. 修改您的PHP程式碼：

<?php

// Database configuration
include_once 'dbConfig.php';

if (isset($_POST['save'])) {
    // Prepare the statement
    $sql = "INSERT INTO users (username, password, email) VALUES (?,?,?)";
    $stmt = $mysqli->prepare($sql);

    // Bind the parameters to the statement
    $stmt->bind_param("sss", $_POST['username'], $_POST['email'], $_POST['password']);

    // Execute the statement
    $stmt->execute();

    // Close the statement
    $stmt->close();
}

?>

準備語句註解

• 用於佔位符（?）用於佔位符（?）用於變數綁定。
• 使用bind_param綁定變數型別（例如，sss為三個字串）。
• 執行finally插入將值存入資料庫。

密碼安全

請注意，密碼不應以明文形式儲存。相反，使用password_hash來儲存密碼的安全雜湊。

以上是如何在 PHP 中使用準備好的語句將表單資料插入 MySQL？的詳細內容。更多資訊請關注PHP中文網其他相關文章！