PHP語言開發中如何使用mysql_query進行資料庫查詢？

在PHP語言開發中，使用MySQL資料庫非常常見，而mysql_query函數是PHP連接MySQL資料庫的一種方法，也是進行資料查詢的基本方法之一。在本文中，我們將探討如何使用mysql_query函數進行資料庫查詢。

一、了解mysql_query函數

mysql_query是PHP中一個用來傳送查詢至MySQL伺服器的函數，通常用來執行INSERT、UPDATE、DELETE等修改操作，以及SELECT查詢語句。

其基本語法結構如下：

mysql_query(string $query , resource $connection = ?): mixed

其中，「$query」是要執行的查詢語句，必須是有效的SQL語句；「$connection」是連接MySQL資料庫的識別符，預設值為最近開啟的連接。

執行成功則傳回一個MySQL資源標識符，否則傳回false，也就是該查詢執行失敗。

二、使用mysql_query進行查詢

在使用mysql_query查詢之前，需要先連接資料庫。連線資料庫可以使用mysqli_connect或PDO等方式連線。

連接MySQL資料庫範例程式碼如下：

// 服务器地址
$db_host = "localhost";
// 数据库用户名
$db_user = "root";
// 数据库密码
$db_password = "123456";
// 数据库名
$db_name = "mydatabase";

// 连接数据库
$link = mysql_connect($db_host, $db_user, $db_password) or die("连接失败！");

// 选择数据库
mysql_select_db($db_name, $link);

接下來，我們可以使用mysql_query函數來查詢。例如，查詢一個學生表中所有的學生資訊：

// 查询所有学生信息
$sql = "SELECT * FROM student";
$result = mysql_query($sql);

// 遍历结果集并输出每个学生的信息
while ($row = mysql_fetch_assoc($result)) { 
    echo '学生ID：'.$row['id'].'，姓名：'.$row['name'].'，年龄：'.$row['age'].'<br>'; 
}

上述程式碼中，「$sql」是要執行的查詢語句，本例中為查詢「student」表中的所有記錄；「$ result」是執行查詢傳回的結果集。同時，可以透過mysql_fetch_assoc函數來遍歷這個結果集。 mysql_fetch_assoc函數將目前結果行作為一個關聯數組傳回，並將指標指向下一行。因此，透過while循環可以遍歷出所有的結果集。

三、避免SQL注入

使用mysql_query函數進行資料查詢時，需要注意避免SQL注入的問題。 SQL注入是指駭客利用程式中的SQL語句，透過自己輸入某些特殊的指令和字符，來執行一些非法的SQL語句或是取得敏感資料的一種攻擊方式。為了確保應用程式的安全性，在進行SQL查詢時需要對輸入參數進行預處理。

以下是幾個避免SQL注入的主要方法：

1.使用PHP addslashes函數

addslashes函數的功能是將字串中的單引號（'） 、雙引號（"）、反斜線（）等特殊字元轉義，避免SQL注入攻擊。

使用範例：

// 防SQL注入处理函数
function filter($text) {
    if(!get_magic_quotes_gpc()) {
        $text = addslashes($text);    // 对单引号、双引号、反斜杠等进行转义处理
    }
    return $text;
}

// 读取提交的用户名和密码信息
$username = filter($_POST['username']);
$password = filter($_POST['password']);

// 查询用户信息
$sql = "SELECT * FROM user WHERE username='$username' AND password='$password'";
$result = mysql_query($sql);

2.使用PHP mysqli擴充函數

#mysqli是PHP擴充函式庫中的一個模組，提供MySQL提供的API介面函數，並支援預處理方式來執行SQL查詢語句。

使用mysqli進行查詢的範例程式碼如下：

// 预处理查询
$stmt = mysqli_prepare($link, "SELECT * FROM user WHERE username=? AND password=?");
mysqli_stmt_bind_param($stmt, "ss", $username, $password);
mysqli_stmt_execute($stmt);

// 处理结果集
$result = mysqli_stmt_get_result($stmt);

// 遍历结果集并输出每行信息
while ($row = mysqli_fetch_assoc($result)) { 
    echo "用户名：".$row['username']."，密码：".$row['password']."<br>"; 
}

// 关闭会话句柄
mysqli_stmt_close($stmt);

3.使用PHP PDO擴展函數

PDO是PHP中用於操作資料庫的一種擴展，該擴展支援多種不同的資料庫，並提供了一整套的預處理方式，從而可以有效避免SQL注入攻擊。

使用PDO進行查詢的範例程式碼如下：

// 连接数据库
$db_host = "localhost";
$db_name = "mydatabase";
$db_user = "root";
$db_password = "123456";
$dsn = "mysql:host={$db_host};dbname={$db_name}";
$conn = new PDO($dsn, $db_user, $db_password);

// 预处理查询
$stmt = $conn->prepare("SELECT * FROM user WHERE username=:username AND password=:password");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

// 处理结果集
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

// 遍历结果集并输出每行信息
foreach ($result as $row) {
    echo "用户名：".$row['username']."，密码：".$row['password']."<br>"; 
}

// 关闭连接
$conn = null;

四、總結

本文介紹了使用mysql_query函數進行資料庫查詢的方法，同時也提出了避免SQL注入攻擊的一些方法。對於初學者而言，可以透過以上方法進行學習和練習，對於已經掌握這些知識的開發者而言，可以進一步學習其他高級的PHP和MySQL的使用技巧。無論如何，保證程式的安全性和資料的正確性，是開發者一直需要考慮的重要問題之一。

以上是PHP語言開發中如何使用mysql_query進行資料庫查詢？的詳細內容。更多資訊請關注PHP中文網其他相關文章！