如何使用 URL 参数在 PHP 中安全地创建 MySQL 准备语句？

在 PHP 中创建安全的 MySQL 准备语句

准备语句为数据库查询提供更高的安全性和潜在的性能改进。这是使用 URL 参数的输入在 PHP 中创建安全 MySQL 准备语句的综合指南。

创建准备语句

实例化 MySQLi 连接并使用 mysqli_prepare 准备语句（ ):

$db = new mysqli("host","user","pw","database");
$stmt = $db->prepare("SELECT * FROM mytable where userid=? AND category=? ORDER BY id DESC");

绑定参数

使用 mysqli_stmt_bind_param() 将输入参数值绑定到语句占位符：

$userid = intval($_GET['userid']);
$category = intval($_GET['category']);
$stmt->bind_param('ii', $userid, $category);

执行和获取数据

执行准备好的语句并使用 mysqli_stmt_execute() 检索结果和mysqli_stmt_store_result():

$stmt->execute();
$stmt->store_result();

使用 mysqli_stmt_bind_result() 将列名绑定到变量并迭代结果：

$stmt->bind_result($column1, $column2, $column3);
while ($stmt->fetch()) {
    echo "col1=$column1, col2=$column2, col3=$column3 \n";
}

增强关联的灵活性数组

对于返回多列的查询（例如 SELECT *），您可以使用 stmt_bind_assoc() 函数将结果绑定到关联数组：

$resultrow = array();
stmt_bind_assoc($stmt, $resultrow);

while ($stmt->fetch()) {
    print_r($resultrow);
}

性能增强

使用准备好的语句时可以提高同一查询多次执行的性能，但创建和准备语句的开销可能不足以仅在三到四次执行中使用它们。

通过执行以下步骤，您可以确保您的 MySQL 查询安全高效。

以上是如何使用 URL 参数在 PHP 中安全地创建 MySQL 准备语句？的详细内容。更多信息请关注PHP中文网其他相关文章！