参数化查询是防止SQL注入的核心,需严格分离SQL结构与数据;所有用户输入均不可信,表名、字段名等结构性内容必须白名单校验,不可用占位符。为什么 mysql_query() 拼接字符串必出问题因为用户输入直接进 SQL 字符串,' OR '1'='1 这种输入会变成 WHERE name = '' OR '1'='1',整张表被拖走。PHP 5.5+ 已废弃 mysql_*() 系列函数,但还有人用 mysqli_query() 手动拼接,本质一样危险。所有用户可控输入(_GET、_POST、_COOKIE、文件内容、API 返回值)都算"不可信",不能直接插进 SQLaddslashes() 或 mysql_real_escape_string() 不可靠------字符集不匹配时照样绕过预编译不是"加个函数就安全",核心是"SQL 结构和数据彻底分离"怎么用 mysqli_prepare() 正确写参数化查询关键在两步:先定义带占位符的 SQL,再把变量单独绑定进去。MySQL 服务端只认占位符位置,不解析传入的值。占位符统一用 ?,不能写成 :name 或 1(那是 PDO 的语法)绑定类型必须准确:i(整数)、s(字符串)、d(双精度)、b(BLOB),类型错会导致静默截断或报错执行前必须检查 mysqli_prepare() 返回值是否为 false,否则后续绑定会失败但不报错/* 正确示例 */stmt = mysqli_prepare(conn, "SELECT * FROM users WHERE id = ? AND status = ?");if (stmt) { mysqli_stmt_bind_param(stmt, "is", user_id, status); mysqli_stmt_execute(stmt); result = mysqli_stmt_get_result($stmt);}PDO 的 prepare() 和 execute() 哪些细节容易翻车PDO 更灵活,但也更容易因配置疏忽漏掉防护。默认不抛异常,错误被吞掉,你以为查到了实际是空结果。 博特妙笔 公职人员公文写作平台,集查、写、审、学为一体。
相关推荐
曹牧19 小时前
Oracle:前缀匹配之REGEXP_LIKEUnbelievabletobe19 小时前
解决了股票api接口盘后数据更新慢的问题lpd_lt20 小时前
AI Coding的常用Prompt技巧小江的记录本20 小时前
【JVM虚拟机】堆内存分代模型:年轻代(Eden+Survivor)、老年代、元空间Metaspace(附《思维导图》+《面试高频考点清单》)在繁华处20 小时前
Java从零到熟练(三):流程控制asdzx6721 小时前
使用 Python 快速提取 PDF 中的表格无情的西瓜皮21 小时前
MCP协议实战:用Python从零搭建一个AI Agent工具服务器(保姆级教程)暴躁小师兄数据学院21 小时前
【AI大数据工程师特训笔记】第05讲:关联查询倔强的石头_1 天前
《Kingbase护城河》——跨平台环境下的数据库联调实战lzhdim1 天前
SQL 入门 17:MySQL 数据类型:从字符串到 JSON 的全面解析