PHP防止sql注入小技巧之sql预处理原理与实现方法分析

本文实例讲述了php防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考，具体如下：

我们可以把sql预处理看作是想要运行的 sql 的一种编译过的模板，它可以使用变量参数进行定制。

我们来看下它有什么好处：

预处理语句大大减少了分析时间，只做了一次查询（虽然语句多次执行）。绑定参数减少了服务器带宽，你只需要发送查询的参数，而不是整个语句。预处理语句针对sql注入是非常有用的，因为参数值发送后使用不同的协议，保证了数据的合法性。

这种预处理呢，可以通过两个方式，咱们这次要说的是mysqli。它任何时候都可以确保应用程序可以用相同的数据访问模式，比pdo要更加实用。

预处个人评定怎么写理呢，它有两种语句，一种是dml语句，另一种是dql语句。咱们先来看第一种：

<?phpheader('content-type:text/html;chart=utf-8');$mysqli = new mysqli("127.0.0.1","root","root","test");$mysqli->query('t names utf8');$inrt 国际化学竞赛= $mysqli->prepare("inrt admins (title,cookies,sta,lid) values (?,?,?,?)");$title = "cuijinpeng";$cookies = "luyaran201314";$sta = "1";$lid教师节英语怎么写 = 1;$inrt->bind_param("sssi",$title,$cookies,$sta,$lid);$res = $inrt->execute();if($res){  echo 1;}el{  echo $inrt->error;  echo 0;}$inrt->clo();$mysqli->clo();

第二种呢，代码如下：

<?phpheader('content-type:text/html;chart=utf-8');$mysqli = new mysqli("127.0.0.1","root","root","test");$mysqli->query('t names utf8');$lect = $mysqli->prepare("lect id,title,cookies,sta,lid from政治知识点 admins where id > ?");$id = "1";$lect->bind_param("i",$id);$lect->bind_result($id,$title,$cookies,$sta,$lid);$lect->execute();while ($lect->fetch()) {  echo $id."---".$title."---".$cookies."---".$sta."---".$lid."<br>";}$lect->clo();$mysqli->clo();

接下来，咱们就该看下这两种语句分别支持什么样子的sql了。

第一种呢，它支持inrt、update、delete这三种类型的sql，第二种嘞，就是查询语句了。

完事那愿我如星君如月个bind_param里的那个i，就是咱们传入参数的类型了，具体介绍如下：

i – integer（整型）d – double（双精度浮点型）s – string（字符串）b – blob（binary large object:二进制大对象）

我们传入的每个参数都需要指定类，这样通过告诉数据库参数的数据类型，可以降低 sql 注入的风险。

好啦，本次记录就到这里了。