MySQLi预处理详解

MySQLi 提供了预处理语句的功能，这使得执行 SQL 查询更安全，能够有效防止 SQL 注入攻击。预处理语句允许将 SQL 查询中的变量参数化，然后将参数与查询语句分开执行，从而避免了直接将用户提供的数据与 SQL 查询语句拼接在一起的安全风险。

以下是 MySQLi 中使用预处理语句的基本步骤：

1. 准备预处理语句（Prepare）： 在预处理阶段，可以编写 SQL 查询语句，并使用占位符（通常是问号 ?）代替变量部分。

2. 绑定参数（Bind）： 将实际的变量值与预处理语句中的占位符进行绑定。

3. 执行语句（Execute）： 执行预处理语句。

4. 获取结果（Fetch）： 如果预处理语句是查询语句，可以获取结果集并进行处理。

使用预处理语句的主要优点之一是它可以提高查询的执行效率，并提供了更好的安全性，因为数据库系统能够更好地优化和缓存预处理语句。

下面是一个简单的示例代码，演示了如何在 MySQLi 中使用预处理语句：

<?php
// 创建数据库连接
$mysqli = new mysqli("localhost", "username", "password", "database");

// 检查连接是否成功
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

// 准备预处理语句
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");

// 绑定参数
$stmt->bind_param("ss", $username, $email);

// 设置参数并执行语句
$username = "user1";
$email = "[email protected]";
$stmt->execute();

$username = "user2";
$email = "[email protected]";
$stmt->execute();

// 关闭预处理语句
$stmt->close();

// 关闭数据库连接
$mysqli->close();
?>

在上面的示例中，准备了一个插入语句，使用了两个占位符 ? 来代替实际的参数值。然后，通过 bind_param() 方法将实际的参数值与占位符进行绑定，最后执行预处理语句。