PHP MySQL 預處理語句（Prepared Statements）詳解

一、引言

在Web開發中，與數據庫進行交互是一個常見的任務。使用PHP與MySQL數據庫進行交互時，安全性是非常重要的。SQL註入是一種常見的數據庫攻擊手段，而預處理語句（Prepared Statements）就是用來防禦SQL註入的有效工具。本文將詳細介紹如何在PHP中使用MySQL預處理語句，並解釋相關代碼的含義。

二、預處理語句簡介

預處理語句是一種預編譯的SQL語句，它允許開發者將SQL語句的模板與數據分開處理。預處理語句的主要優點包括：

1. 提高性能：預編譯的SQL語句只需要被解析和編譯一次，之後可以多次執行。

2. 防止SQL註入：預處理語句使用參數化查詢，能夠自動處理特殊字符，避免SQL註入攻擊。

三、PHP中使用MySQL預處理語句

在PHP中，可以使用PDO（PHP Data Objects）或MySQLi擴展來執行預處理語句。下面以PDO為例，介紹如何使用預處理語句。

首先，確保你的PHP環境已經啟用了PDO和PDO_MySQL擴展。然後，你可以按照以下步驟使用預處理語句：

1. 建立數據庫連接

使用PDO的構造函數建立與MySQL數據庫的連接。

php

<?php
$dsn = 'mysql:host=localhost;dbname=your_database;charset=utf8mb4';
$username = 'your_username';
$password = 'your_password';
try {
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
    die("Connection failed: " . $e->getMessage());
}
?>

2. 準備預處理語句

使用PDO的`prepare()`方法準備一條預處理語句。這個方法接受一個SQL語句作為參數，返回一個PDOStatement對象。

php

<?php
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
?>

註意，在上面的SQL語句中，我們使用了命名占位符（`:name`和`:email`）來代替實際的數據值。這些占位符將在後續步驟中被替換為實際的數據。

3. 綁定參數並執行

使用PDOStatement對象的`bindParam()`或`bindValue()`方法將參數綁定到預處理語句上。然後，使用`execute()`方法執行預處理語句。

php

<?php
$name = 'John Doe';
$email = 'johndoe@example.com';
$stmt->bindParam(':name', $name, PDO::PARAM_STR);
$stmt->bindParam(':email', $email, PDO::PARAM_STR);
try {
    $stmt->execute();
    echo "New record created successfully";
} catch (PDOException $e) {
    echo "Error: " . $e->getMessage();
}
?>

在上面的代碼中，我們使用`bindParam()`方法將變量`$name`和`$email`綁定到預處理語句的命名占位符上。然後，我們調用`execute()`方法執行預處理語句。如果執行成功，將輸出“New record created successfully”；否則，將捕獲PDOException異常並輸出錯誤信息。

四、總結

預處理語句是防禦SQL註入攻擊的有效工具之一。在PHP中，你可以使用PDO或MySQLi擴展來執行預處理語句。通過準備SQL語句模板、綁定參數和執行預處理語句，你可以安全地與MySQL數據庫進行交互，避免SQL註入攻擊的風險。