PHP数据库预处理语句使用方法

预处理语句通过分离SQL逻辑与数据防止注入，PHP中PDO和MySQLi支持该机制，使用prepare()和execute()方法绑定参数，确保用户输入不改变SQL结构，提升安全与性能。

在PHP中操作数据库时，使用预处理语句（Prepared Statements）是防止SQL注入、提升执行效率和保障数据安全的核心技术。尤其在处理用户输入时，预处理语句能有效隔离SQL逻辑与数据内容，避免恶意代码注入。

什么是预处理语句

预处理语句是一种将SQL命令模板预先发送到数据库服务器的机制。它分为两个阶段：准备阶段和执行阶段。

在准备阶段，SQL语句结构被发送并编译；在执行阶段，参数值才被传入并执行查询。这样可以确保参数不会改变原有SQL语句的结构。

以MySQL为例，PHP推荐使用PDO或MySQLi扩展来实现预处理操作，两者都支持预处理语句。

PDO中的预处理用法

PDO提供了一致的接口，支持多种数据库，语法清晰，推荐优先使用。

示例：使用命名占位符插入用户数据

$pdo = new PDO("mysql:host=localhost;dbname=test", $username, $password);
$stmt = $pdo->prepare("INSERT INTO users (name, email) VALUES (:name, :email)");
$stmt->execute([':name' => '张三', ':email' => 'zhangsan@example.com']);

示例：使用问号占位符查询数据

$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$_GET['id']]);
$user = $stmt->fetch();

MySQLi中的预处理用法

MySQLi是专为MySQL设计的扩展，也支持面向对象和过程式写法。

使用步骤：

示例：

$mysqli = new mysqli("localhost", "user", "pass", "test");
$stmt = $mysqli->prepare("SELECT name, email FROM users WHERE age > ?");
$stmt->bind_param("i", $age); // i 表示整数类型
$age = 18;
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    echo $row['name'];
}

为什么预处理更安全

普通拼接SQL语句容易被攻击，例如：

// 危险！不要这样做
$sql = "SELECT * FROM users WHERE id = " . $_GET['id'];

如果用户传入 1 OR 1=1，可能导致全表泄露。

而预处理语句中，参数只作为数据值处理，不会参与SQL解析，即使传入恶意字符也不会改变语义。

同时，预处理还能提升重复执行SQL的性能，因为执行计划可被数据库缓存复用。

基本上就这些。只要涉及用户输入的数据库操作，都应该使用预处理语句。PDO因其简洁性和兼容性，通常是更优选择。安全编码习惯从正确使用预处理开始。