使用PHP的預(yù)處理語句執(zhí)行SELECT查詢可有效防止SQL注入並提升安全性。 1. 預(yù)處理語句通過將SQL結(jié)構(gòu)與數(shù)據(jù)分離，先發(fā)送模板後傳參數(shù)，避免惡意輸入篡改SQL邏輯；2. PHP中常用PDO和MySQLi擴(kuò)展實(shí)現(xiàn)預(yù)處理，其中PDO支持多數(shù)據(jù)庫、語法統(tǒng)一，適合新手或需要移植性的項(xiàng)目；3. MySQLi專為MySQL設(shè)計(jì)，性能更優(yōu)但靈活性較低；4. 使用時(shí)應(yīng)選擇合適佔(zhàn)位符（如?或命名佔(zhàn)位符），通過execute()綁定參數(shù)，避免手動(dòng)拼接SQL；5. 注意處理錯(cuò)誤及空結(jié)果，確保代碼健壯性；6. 查詢結(jié)束後及時(shí)關(guān)閉資源，提升程序穩(wěn)定性。兩種方式均能防注入，選擇取決於項(xiàng)目需求與個(gè)人偏好。

用PHP 的預(yù)處理語句執(zhí)行SELECT 查詢，是防止SQL 注入、提升數(shù)據(jù)庫操作安全性的常用做法。如果你之前直接拼接SQL 字符串來查詢，建議盡快換成prepared statement。

什麼是預(yù)處理語句？

預(yù)處理語句（prepared statement）是一種將SQL 語句結(jié)構(gòu)和數(shù)據(jù)分離的機(jī)制。它先發(fā)送一個(gè)帶有佔(zhàn)位符的SQL 模板給數(shù)據(jù)庫，等參數(shù)準(zhǔn)備好後再傳值進(jìn)去執(zhí)行。這種“先編譯後傳參”的方式能有效防止SQL 注入攻擊，同時(shí)也能提高多次執(zhí)行相似查詢時(shí)的效率。

在PHP 中，常用的兩種數(shù)據(jù)庫擴(kuò)展支持預(yù)處理語句：PDO 和MySQLi。下面會(huì)分別說明如何使用它們進(jìn)行SELECT 查詢。

使用PDO 執(zhí)行帶預(yù)處理的SELECT 查詢

PDO 是一個(gè)更通用、支持多種數(shù)據(jù)庫的擴(kuò)展，語法統(tǒng)一，推薦新手或希望代碼更具可移植性的人使用。

基本步驟如下：

• 連接數(shù)據(jù)庫
• 準(zhǔn)備SQL 語句
• 綁定參數(shù)（可選）
• 執(zhí)行查詢
• 獲取結(jié)果

示例代碼：

 $host = '127.0.0.1';
$db = 'test_db';
$user = 'root';
$pass = '';
$charset = 'utf8mb4';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$opt = [
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
];
$pdo = new PDO($dsn, $user, $pass, $opt);

$stmt = $pdo->prepare('SELECT id, name, email FROM users WHERE id = ?');
$stmt->execute([$_GET['id']]);
$user = $stmt->fetch();

if ($user) {
    echo &#39;ID: &#39; . $user[&#39;id&#39;] . &#39;<br>&#39;;
    echo &#39;Name: &#39; . $user[&#39;name&#39;] . &#39;<br>&#39;;
    echo &#39;Email: &#39; . $user[&#39;email&#39;];
} else {
    echo &#39;用戶不存在&#39;;
}

幾點(diǎn)注意：

• ?是佔(zhàn)位符，適合按順序傳參。
• 也可以使用命名佔(zhàn)位符如:id ，然後通過bindParam()或execute([':id' => $_GET['id']])來綁定。
• 不要手動(dòng)拼接變量進(jìn)SQL 字符串，否則就失去了防注入的意義。

使用MySQLi 執(zhí)行帶預(yù)處理的SELECT 查詢

MySQLi 是專為MySQL 設(shè)計(jì)的擴(kuò)展，性能略優(yōu)，但不如PDO 靈活。

以下是面向?qū)ο蠓绞降暮?jiǎn)單示例：

 $mysqli = new mysqli('localhost', 'root', '', 'test_db');

if ($mysqli->connect_error) {
    die('連接失敗: ' . $mysqli->connect_error);
}

$stmt = $mysqli->prepare('SELECT id, name, email FROM users WHERE id = ?');
$stmt->bind_param('i', $id);
$id = $_GET['id'];
$stmt->execute();
$result = $stmt->get_result();

if ($row = $result->fetch_assoc()) {
    echo &#39;ID: &#39; . $row[&#39;id&#39;] . &#39;<br>&#39;;
    echo &#39;Name: &#39; . $row[&#39;name&#39;] . &#39;<br>&#39;;
    echo &#39;Email: &#39; . $row[&#39;email&#39;];
} else {
    echo &#39;用戶不存在&#39;;
}

$stmt->close();
$mysqli->close();

注意事項(xiàng)：

• bind_param()中的類型標(biāo)識(shí)符必須正確，比如'i'表示整數(shù)， 's'表示字符串。
• 如果你不確定輸入類型，可以先做驗(yàn)證或轉(zhuǎn)換。
• 要記得關(guān)閉語句和連接資源，雖然PHP 會(huì)在腳本結(jié)束自動(dòng)釋放，但顯式關(guān)閉是個(gè)好習(xí)慣。

哪種方式更好？

這個(gè)問題沒有絕對(duì)答案，取決於你的項(xiàng)目需求和個(gè)人偏好：

• 如果你需要兼容多種數(shù)據(jù)庫，或者喜歡簡(jiǎn)潔統(tǒng)一的寫法，用PDO 。
• 如果你只用MySQL，並且追求極致性能，可以用MySQLi 。
• 都支持預(yù)處理，都能有效防止SQL 注入。

另外，無論用哪種方式，都要注意以下幾點(diǎn)：

• 參數(shù)不要直接拼進(jìn)SQL
• 查詢後要做錯(cuò)誤處理，比如try catch 或if 判斷返回值
• 查詢結(jié)果為空的情況也要處理，避免出錯(cuò)

基本上就這些。用預(yù)處理其實(shí)不復(fù)雜，但容易忽略細(xì)節(jié)導(dǎo)致安全問題。只要按照上面的模式寫，就能寫出更健壯的代碼。

以上是PHP準(zhǔn)備的聲明選擇的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！