参数化查询是防止SQL注入的核心,需严格分离SQL结构与数据;所有用户输入均不可信,表名、字段名等结构性内容必须白名单校验,不可用占位符。为什么 mysql_query() 拼接字符串必出问题因为用户输入直接进 SQL 字符串,' OR '1'='1 这种输入会变成 WHERE name = '' OR '1'='1',整张表被拖走。PHP 5.5+ 已废弃 mysql_*() 系列函数,但还有人用 mysqli_query() 手动拼接,本质一样危险。所有用户可控输入(_GET、_POST、_COOKIE、文件内容、API 返回值)都算"不可信",不能直接插进 SQLaddslashes() 或 mysql_real_escape_string() 不可靠------字符集不匹配时照样绕过预编译不是"加个函数就安全",核心是"SQL 结构和数据彻底分离"怎么用 mysqli_prepare() 正确写参数化查询关键在两步:先定义带占位符的 SQL,再把变量单独绑定进去。MySQL 服务端只认占位符位置,不解析传入的值。占位符统一用 ?,不能写成 :name 或 1(那是 PDO 的语法)绑定类型必须准确:i(整数)、s(字符串)、d(双精度)、b(BLOB),类型错会导致静默截断或报错执行前必须检查 mysqli_prepare() 返回值是否为 false,否则后续绑定会失败但不报错/* 正确示例 */stmt = mysqli_prepare(conn, "SELECT * FROM users WHERE id = ? AND status = ?");if (stmt) { mysqli_stmt_bind_param(stmt, "is", user_id, status); mysqli_stmt_execute(stmt); result = mysqli_stmt_get_result($stmt);}PDO 的 prepare() 和 execute() 哪些细节容易翻车PDO 更灵活,但也更容易因配置疏忽漏掉防护。默认不抛异常,错误被吞掉,你以为查到了实际是空结果。 博特妙笔 公职人员公文写作平台,集查、写、审、学为一体。
相关推荐
阿kun要赚马内18 小时前
Python多进程中的数据隔离邮专薛之谦18 小时前
MySQL 完整SQL指令大全(含详细解释+实战示例)YL2004042618 小时前
MySQL-进阶篇-SQL优化Irissgwe18 小时前
redis之典型应用-缓存cache才兄说18 小时前
机器人二次开发机器狗巡检?低耗电自主绕行Shely201719 小时前
数据库索引我也不曾来过119 小时前
Mysql-SOLO-19 小时前
Python 爬取小红书 文章标题和内容 仅供学习小陈工19 小时前
Python异步编程进阶:asyncio高级模式与性能调优gQ85v10Db19 小时前
Redis分布式锁进阶第三十一篇