参数化查询是防止SQL注入的核心,需严格分离SQL结构与数据;所有用户输入均不可信,表名、字段名等结构性内容必须白名单校验,不可用占位符。为什么 mysql_query() 拼接字符串必出问题因为用户输入直接进 SQL 字符串,' OR '1'='1 这种输入会变成 WHERE name = '' OR '1'='1',整张表被拖走。PHP 5.5+ 已废弃 mysql_*() 系列函数,但还有人用 mysqli_query() 手动拼接,本质一样危险。所有用户可控输入(_GET、_POST、_COOKIE、文件内容、API 返回值)都算"不可信",不能直接插进 SQLaddslashes() 或 mysql_real_escape_string() 不可靠------字符集不匹配时照样绕过预编译不是"加个函数就安全",核心是"SQL 结构和数据彻底分离"怎么用 mysqli_prepare() 正确写参数化查询关键在两步:先定义带占位符的 SQL,再把变量单独绑定进去。MySQL 服务端只认占位符位置,不解析传入的值。占位符统一用 ?,不能写成 :name 或 1(那是 PDO 的语法)绑定类型必须准确:i(整数)、s(字符串)、d(双精度)、b(BLOB),类型错会导致静默截断或报错执行前必须检查 mysqli_prepare() 返回值是否为 false,否则后续绑定会失败但不报错/* 正确示例 */stmt = mysqli_prepare(conn, "SELECT * FROM users WHERE id = ? AND status = ?");if (stmt) { mysqli_stmt_bind_param(stmt, "is", user_id, status); mysqli_stmt_execute(stmt); result = mysqli_stmt_get_result($stmt);}PDO 的 prepare() 和 execute() 哪些细节容易翻车PDO 更灵活,但也更容易因配置疏忽漏掉防护。默认不抛异常,错误被吞掉,你以为查到了实际是空结果。 博特妙笔 公职人员公文写作平台,集查、写、审、学为一体。
相关推荐
maqr_1102 小时前
PyTorch bfloat16 张量转 NumPy 的兼容性解决方案A_QXBlms2 小时前
企微定时群发全流程技术实操+高效工具落地方案somi72 小时前
ARM-10-SQLite3 库移植笔记皮肤科大白2 小时前
X-AnyLabeling 快速入门952362 小时前
-JVM-weixin_424999362 小时前
http-equiv属性有哪些常用值_meta模拟HTTP头汇总【详解】zhojiew2 小时前
在AWS上完成Apache Doris存算一体/存算分离和湖仓数据库部署的实践knight_9___2 小时前
RAG面试题4WL_Aurora2 小时前
每日一题——自然倍树