参数化查询是防止SQL注入的核心,需严格分离SQL结构与数据;所有用户输入均不可信,表名、字段名等结构性内容必须白名单校验,不可用占位符。为什么 mysql_query() 拼接字符串必出问题因为用户输入直接进 SQL 字符串,' OR '1'='1 这种输入会变成 WHERE name = '' OR '1'='1',整张表被拖走。PHP 5.5+ 已废弃 mysql_*() 系列函数,但还有人用 mysqli_query() 手动拼接,本质一样危险。所有用户可控输入(_GET、_POST、_COOKIE、文件内容、API 返回值)都算"不可信",不能直接插进 SQLaddslashes() 或 mysql_real_escape_string() 不可靠------字符集不匹配时照样绕过预编译不是"加个函数就安全",核心是"SQL 结构和数据彻底分离"怎么用 mysqli_prepare() 正确写参数化查询关键在两步:先定义带占位符的 SQL,再把变量单独绑定进去。MySQL 服务端只认占位符位置,不解析传入的值。占位符统一用 ?,不能写成 :name 或 1(那是 PDO 的语法)绑定类型必须准确:i(整数)、s(字符串)、d(双精度)、b(BLOB),类型错会导致静默截断或报错执行前必须检查 mysqli_prepare() 返回值是否为 false,否则后续绑定会失败但不报错/* 正确示例 */stmt = mysqli_prepare(conn, "SELECT * FROM users WHERE id = ? AND status = ?");if (stmt) { mysqli_stmt_bind_param(stmt, "is", user_id, status); mysqli_stmt_execute(stmt); result = mysqli_stmt_get_result($stmt);}PDO 的 prepare() 和 execute() 哪些细节容易翻车PDO 更灵活,但也更容易因配置疏忽漏掉防护。默认不抛异常,错误被吞掉,你以为查到了实际是空结果。 博特妙笔 公职人员公文写作平台,集查、写、审、学为一体。
相关推荐
ServBay15 小时前
9 个 Python 第三方库推荐,不用 AI 都好像多出一个团队用户83562907805115 小时前
如何使用 Python 添加和管理 Excel 批注(完整示例)用户83562907805116 小时前
使用 Python 管理 Excel 工作表:创建、复制、删除与重命名SelectDB16 小时前
阶跃星辰基于 SelectDB 构建 PB 级 Agent 可观测平台这个DBA有点耶17 小时前
GROUP BY优化全解:如何写出既不丢数据又飞快的分组查询掉头发的王富贵20 小时前
【StarRocks】极限十分钟入门StarRocksNturmoils20 小时前
WHERE 条件别凭习惯写,常用查询先跑一遍荣码1 天前
LangGraph多Agent协作:3个Agent干活比1个强,但我踩了4个坑用户8356290780512 天前
Python 操作 PDF 附件:添加、查看与管理指南Databend2 天前
在 AWS 中国峰会逛了一天,我在 Databend 展台看到了 Agent 数据基础设施的新思路