使用PHP的預(yù)處理語(yǔ)句執(zhí)行SELECT查詢(xún)可有效防止SQL注入并提升安全性。1. 預(yù)處理語(yǔ)句通過(guò)將SQL結(jié)構(gòu)與數(shù)據(jù)分離，先發(fā)送模板后傳參數(shù)，避免惡意輸入篡改SQL邏輯；2. PHP中常用PDO和MySQLi擴(kuò)展實(shí)現(xiàn)預(yù)處理，其中PDO支持多數(shù)據(jù)庫(kù)、語(yǔ)法統(tǒng)一，適合新手或需要移植性的項(xiàng)目；3. MySQLi專(zhuān)為MySQL設(shè)計(jì)，性能更優(yōu)但靈活性較低；4. 使用時(shí)應(yīng)選擇合適占位符（如?或命名占位符），通過(guò)execute()綁定參數(shù)，避免手動(dòng)拼接SQL；5. 注意處理錯(cuò)誤及空結(jié)果，確保代碼健壯性；6. 查詢(xún)結(jié)束后及時(shí)關(guān)閉資源，提升程序穩(wěn)定性。兩種方式均能防注入，選擇取決于項(xiàng)目需求與個(gè)人偏好。

用 PHP 的預(yù)處理語(yǔ)句執(zhí)行 SELECT 查詢(xún)，是防止 SQL 注入、提升數(shù)據(jù)庫(kù)操作安全性的常用做法。如果你之前直接拼接 SQL 字符串來(lái)查詢(xún)，建議盡快換成 prepared statement。

什么是預(yù)處理語(yǔ)句？

預(yù)處理語(yǔ)句（prepared statement）是一種將 SQL 語(yǔ)句結(jié)構(gòu)和數(shù)據(jù)分離的機(jī)制。它先發(fā)送一個(gè)帶有占位符的 SQL 模板給數(shù)據(jù)庫(kù)，等參數(shù)準(zhǔn)備好后再傳值進(jìn)去執(zhí)行。這種“先編譯后傳參”的方式能有效防止 SQL 注入攻擊，同時(shí)也能提高多次執(zhí)行相似查詢(xún)時(shí)的效率。

在 PHP 中，常用的兩種數(shù)據(jù)庫(kù)擴(kuò)展支持預(yù)處理語(yǔ)句：PDO 和 MySQLi。下面會(huì)分別說(shuō)明如何使用它們進(jìn)行 SELECT 查詢(xún)。

使用 PDO 執(zhí)行帶預(yù)處理的 SELECT 查詢(xún)

PDO 是一個(gè)更通用、支持多種數(shù)據(jù)庫(kù)的擴(kuò)展，語(yǔ)法統(tǒng)一，推薦新手或希望代碼更具可移植性的人使用。

基本步驟如下：

• 連接數(shù)據(jù)庫(kù)
• 準(zhǔn)備 SQL 語(yǔ)句
• 綁定參數(shù)（可選）
• 執(zhí)行查詢(xún)
• 獲取結(jié)果

示例代碼：

$host = '127.0.0.1';
$db   = 'test_db';
$user = 'root';
$pass = '';
$charset = 'utf8mb4';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$opt = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
];
$pdo = new PDO($dsn, $user, $pass, $opt);

$stmt = $pdo->prepare('SELECT id, name, email FROM users WHERE id = ?');
$stmt->execute([$_GET['id']]);
$user = $stmt->fetch();

if ($user) {
    echo 'ID: ' . $user['id'] . '<br>';
    echo 'Name: ' . $user['name'] . '<br>';
    echo 'Email: ' . $user['email'];
} else {
    echo '用戶(hù)不存在';
}

幾點(diǎn)注意：

• ? 是占位符，適合按順序傳參。
• 也可以使用命名占位符如 :id，然后通過(guò) bindParam() 或 execute([':id' => $_GET['id']]) 來(lái)綁定。
• 不要手動(dòng)拼接變量進(jìn) SQL 字符串，否則就失去了防注入的意義。

使用 MySQLi 執(zhí)行帶預(yù)處理的 SELECT 查詢(xún)

MySQLi 是專(zhuān)為 MySQL 設(shè)計(jì)的擴(kuò)展，性能略?xún)?yōu)，但不如 PDO 靈活。

以下是面向?qū)ο蠓绞降暮?jiǎn)單示例：

$mysqli = new mysqli('localhost', 'root', '', 'test_db');

if ($mysqli->connect_error) {
    die('連接失敗: ' . $mysqli->connect_error);
}

$stmt = $mysqli->prepare('SELECT id, name, email FROM users WHERE id = ?');
$stmt->bind_param('i', $id);
$id = $_GET['id'];
$stmt->execute();
$result = $stmt->get_result();

if ($row = $result->fetch_assoc()) {
    echo 'ID: ' . $row['id'] . '<br>';
    echo 'Name: ' . $row['name'] . '<br>';
    echo 'Email: ' . $row['email'];
} else {
    echo '用戶(hù)不存在';
}

$stmt->close();
$mysqli->close();

注意事項(xiàng)：

• bind_param() 中的類(lèi)型標(biāo)識(shí)符必須正確，比如 'i' 表示整數(shù)，'s' 表示字符串。
• 如果你不確定輸入類(lèi)型，可以先做驗(yàn)證或轉(zhuǎn)換。
• 要記得關(guān)閉語(yǔ)句和連接資源，雖然 PHP 會(huì)在腳本結(jié)束自動(dòng)釋放，但顯式關(guān)閉是個(gè)好習(xí)慣。

哪種方式更好？

這個(gè)問(wèn)題沒(méi)有絕對(duì)答案，取決于你的項(xiàng)目需求和個(gè)人偏好：

• 如果你需要兼容多種數(shù)據(jù)庫(kù)，或者喜歡簡(jiǎn)潔統(tǒng)一的寫(xiě)法，用 PDO。
• 如果你只用 MySQL，并且追求極致性能，可以用 MySQLi。
• 都支持預(yù)處理，都能有效防止 SQL 注入。

另外，無(wú)論用哪種方式，都要注意以下幾點(diǎn)：

• 參數(shù)不要直接拼進(jìn) SQL
• 查詢(xún)后要做錯(cuò)誤處理，比如 try catch 或 if 判斷返回值
• 查詢(xún)結(jié)果為空的情況也要處理，避免出錯(cuò)

基本上就這些。用預(yù)處理其實(shí)不復(fù)雜，但容易忽略細(xì)節(jié)導(dǎo)致安全問(wèn)題。只要按照上面的模式寫(xiě)，就能寫(xiě)出更健壯的代碼。

以上是PHP準(zhǔn)備的聲明選擇的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！