使用MySQL连接的PHP中的参数化查询

在本文中，我们将介绍如何在PHP中使用MySQL连接实现参数化查询。参数化查询是一种安全的数据库查询方式，可以避免SQL注入攻击。在传统的查询中，我们将变量直接传递到SQL语句中，但是这种方法容易受到恶意用户的攻击。在参数化查询中，我们使用占位符代替变量，然后在执行查询之前将变量与占位符的值绑定起来。这样就可以防止SQL注入攻击。

阅读更多：MySQL 教程

为什么使用参数化查询

在传统的查询中，我们将变量直接传递到SQL语句中，如下所示：

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username='".$username."' AND password='".$password."'";
$result = mysqli_query($connection, $query) or die(mysqli_error($connection));

上面的代码中，用户名和密码是从表单中接收的。如果恶意用户在表单中输入SQL查询语句，则可能会执行未经授权的查询。例如，如果用户在密码字段中输入以下内容：

' OR 1=1 --

则SQL语句将变成：

SELECT * FROM users WHERE username='John Doe' AND password='' OR 1=1 --'

这个查询将返回所有用户的记录。

而参数化查询可以有效地避免这种注入攻击。在参数化查询的方式中，我们使用占位符取代参数，如下所示：

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username=? AND password=?";
$stmt = mysqli_prepare($connection, $query);
mysqli_stmt_bind_param($stmt, "ss", $username, $password);
mysqli_stmt_execute($stmt);
$result = mysqli_stmt_get_result($stmt);

在上面的代码中，我们使用问号来代替变量，并使用mysqli_prepare()函数来创建一个预处理语句。然后，我们使用mysqli_stmt_bind_param()函数来绑定变量，并在执行查询之前，使用mysqli_stmt_execute()函数来执行查询。

如何使用参数化查询

在PHP中，我们可以使用mysqli和PDO两种方式来实现参数化查询。下面分别介绍。

使用mysqli实现参数化查询

如上所示，使用mysqli实现参数化查询需要以下步骤：

1. 创建预处理语句
2. 绑定参数
3. 执行查询

在创建预处理语句时，我们使用问号来代替变量。在绑定参数时，我们可以使用mysqli_stmt_bind_param()函数来绑定各种数据类型，如字符串、整数和小数。在执行查询时，我们使用mysqli_stmt_execute()函数来执行查询，然后使用mysqli_stmt_get_result()函数来获取结果集。

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username=? AND password=?";
$stmt = mysqli_prepare($connection, $query);
mysqli_stmt_bind_param($stmt, "ss", $username, $password);
mysqli_stmt_execute($stmt);
$result = mysqli_stmt_get_result($stmt);

在上面的代码中，我们使用了两个参数（字符串类型），因此我们在mysqli_stmt_bind_param()函数内使用了”Ss”。如果我们使用整数，则可以使用”i”，如果使用浮点数，则可以使用”d”。这些选项可以在函数手册中找到。

使用PDO实现参数化查询

使用PDO实现参数化查询需要以下步骤：

1. 准备查询
2. 绑定参数
3. 执行查询

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username=:username AND password=:password";
$stmt = $pdo->prepare($query);
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();
$result = $stmt->fetchAll();

在上面的代码中，我们使用了PDO的bindParam()方法来绑定参数。我们可以使用bindParam()方法来绑定各种数据类型，如字符串、整数和小数。

参数化查询的优点

参数化查询的优点非常明显：它可以有效地防止SQL注入攻击。通过使用占位符而不是将参数嵌入查询语句，我们可以保证参数值不会对查询产生任何意外影响。此外，使用参数化查询还可以提高查询的性能。由于数据库可以缓存预处理语句，并在以后执行查询时重复使用绑定参数，因此可以减少数据库的负载。

另一个优点是，参数化查询可以使代码更加易读。通过将参数列表与查询语句分离，可以使代码更加模块化并且易于维护。

示例

以下是一个使用mysqli实现参数化查询的示例代码块。假设我们正在构建一个简单的登录页面，并且需要一个查询来验证用户提供的凭据是否正确。我们可以通过使用参数化查询来确保查询安全。

$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username=? AND password=?";
$stmt = mysqli_prepare($connection, $query);
mysqli_stmt_bind_param($stmt, "ss", $username, $password);
mysqli_stmt_execute($stmt);
$result = mysqli_stmt_get_result($stmt);

if (mysqli_num_rows($result) == 1) {
    // 用户已通过验证
} else {
    // 用户名或密码错误
}

mysqli_close($connection);

注意事项

在使用参数化查询时，请务必注意以下几点：

1. 在预处理语句中使用问号（mysqli）或占位符（PDO）来代替变量，而不是将它们嵌入查询语句中。
2. 使用mysqli_stmt_bind_param()函数或PDO的bindParam()方法来绑定参数值。
3. 执行查询之前，请务必使用mysqli_stmt_execute()函数或PDO的execute()方法来执行查询。
4. 在使用mysqli时，请使用mysqli_stmt_get_result()函数来获取结果集。在使用PDO时，请使用fetchAll()或fetch()方法来获取结果集。

总结

参数化查询是一种非常安全和有效的查询方式，可以在PHP中与MySQL连接一起使用。使用占位符而不是将参数嵌入查询语句中，可以有效地防止SQL注入攻击，并且还可以提高查询性能。在使用mysqli或PDO实现参数化查询时，请注意使用正确的函数来创建预处理语句，并注意绑定参数值和执行查询的步骤。