php sql轉義

PHP和SQL都是常用的程式語言，用來處理Web應用程式中的資料。在處理使用者輸入資料時，必須注意資料安全。因為使用者可能會嘗試注入惡意程式碼或SQL查詢，從而存取或竊取敏感資訊。為防止這種情況發生，必須對輸入的資料進行轉義，以消除任何可能的風險。本文將介紹PHP和SQL中的資料轉義。

1. PHP中的資料轉義

在PHP中，有兩個常見的函數可以用來轉義輸入的數據，即addslashes() 和mysqli_real_escape_string()。

1.1 addslashes()

addslashes()函數可以將字串中的引號、反斜線等特殊字元轉義，以避免在資料庫中引發問題。例如，如果使用者試圖輸入I'm a hacker，這個字串會導致PHP語​​法錯誤，因為它會破壞SQL語句的引號結構。透過使用addslashes()，可以將這個字串轉義為I\'m a hacker，使其可以正確解析。程式碼如下：

$username = "I'm a hacker";
$username = addslashes($username);

1.2 mysqli_real_escape_string()

mysqli_real_escape_string()函數是透過一個連接相關的函數，可以用來轉義SQL語句中的特殊字元。在使用這個函數之前，必須先建立一個到資料庫的連接。以下是範例程式碼：

$conn = mysqli_connect($host, $user, $password, $dbname);
$string = "I'm a hacker";
$string = mysqli_real_escape_string($conn, $string);

使用mysqli_real_escape_string()轉義字串時，總是要將它與建立到資料庫的連線關聯起來。否則，無法進行轉義處理。

2. SQL語句中的資料轉義

在SQL語句中，可以透過使用參數化查詢來避免注入攻擊。使用參數化查詢，可以將資料轉換為常數，從而避免惡意程式碼的注入。

2.1 參數化查詢

參數化查詢是指在SQL語句中使用參數取代實際資料值。這些參數只是在執行語句時被綁定到實際的值。在PHP中，可以使用PDO物件來執行參數化查詢，例如：

$pdo = new PDO('mysql:host=localhost;dbname=test', $user, $password);
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->execute(['username' => $username]);

在這個範例中，使用冒號（:）為使用者名稱建立了一個佔位符。然後，使用execute()方法將佔位符綁定到實際的使用者名稱值上。

2.2 預處理語句

另一種防止SQL注入的方法是使用預處理語句。在這種情況下，SQL查詢中的所有變數都被視為參數，並在查詢執行之前被轉義。在PHP中，可以使用mysqli擴充功能來執行預處理語句，例如：

$conn = mysqli_connect($host, $user, $password, $dbname);
$stmt = mysqli_prepare($conn, 'SELECT * FROM users WHERE username = ?');
mysqli_stmt_bind_param($stmt, 's', $username);
mysqli_stmt_execute($stmt);

在這個範例中，mysqli_prepare()函數用來準備查詢語句，並在執行之前綁定所有參數。使用s參數類型來綁定字串變數。然後，使用mysqli_stmt_execute()函數來執行查詢。

綜上所述，資料轉義是很重要的，可以防止網路應用程式中的SQL注入攻擊。在PHP中，可以使用addslashes()或mysqli_real_escape_string()函數來轉義字串。在SQL語句中，可以使用參數化查詢或預處理語句來防止注入攻擊。無論哪種方法，都可以提高Web應用程式的安全性。

以上是php sql轉義的詳細內容。更多資訊請關注PHP中文網其他相關文章！