当前位置：首页 > 文章列表 > 文章 > php教程 > PHPMySQLi安全查询技巧分享

PHPMySQLi安全查询技巧分享

2025-06-25 12:08:06 0浏览收藏

文章小白一枚，正在不断学习积累知识，现将学习到的知识记录一下，也是将我的所得分享给大家！而今天这篇文章《PHP MySQLi安全查询方法详解》带大家来了解一下##content_title##，希望对大家的知识积累有所帮助，从而弥补自己的不足，助力实战开发！

在PHP中使用MySQLi安全执行SQL查询的核心是预处理语句，1.通过连接数据库，2.准备带占位符的SQL语句，3.绑定参数防止SQL注入，4.执行语句并检查结果，5.关闭资源；若执行失败常见原因包括SQL语法错误、参数类型或数量不匹配、连接异常及权限问题；处理NULL值可通过三元运算符判断或使用send_long_data方法；预处理语句虽可防止SQL注入和部分攻击如缓冲区溢出，但无法防御XSS或CSRF，还需配合输入验证、输出编码等其他安全措施。

PHP中的MySQLi：如何安全执行SQL查询

直接说吧，安全执行SQL查询，在PHP里用MySQLi，核心就是用预处理语句，防止SQL注入。

预处理语句就像是先准备好一个模具，然后把具体的数据填进去，这样数据就不会被当成SQL代码来执行，而是纯粹的数据。

解决方案首先，你需要连接到数据库。

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检测连接
if ($conn->connect_error) {
  die("连接失败: " . $conn->connect_error);
}
echo "连接成功";
?>

然后，准备你的SQL语句，注意用占位符 ? 代替直接插入的数据。

$sql = "INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)";

接下来，使用$conn->prepare()方法准备预处理语句。

$stmt = $conn->prepare($sql);

如果准备失败，$conn->prepare()会返回false，你应该检查并处理这种情况。

现在，你需要绑定参数。$stmt->bind_param() 方法用于绑定参数，第一个参数是一个字符串，表示参数的类型。s 代表 string, i 代表 integer, d 代表 double, b 代表 blob。

$firstname = "John";
$lastname = "Doe";
$email = "john.doe@example.com";
$stmt->bind_param("sss", $firstname, $lastname, $email);

注意，参数的类型要和数据库中的字段类型一致，否则可能会出错。

执行预处理语句。

$stmt->execute();

执行后，检查是否成功。

if ($stmt->affected_rows > 0) {
  echo "新记录插入成功";
} else {
  echo "Error: " . $sql . "<br>" . $conn->error;
}

最后，记得关闭statement和连接。

$stmt->close();
$conn->close();

如果需要查询数据，也用类似的方法。

$sql = "SELECT id, firstname, lastname FROM MyGuests WHERE firstname = ?";
$stmt = $conn->prepare($sql);
$firstname = "John";
$stmt->bind_param("s", $firstname);
$stmt->execute();
$result = $stmt->get_result();

if ($result->num_rows > 0) {
  // 输出数据
  while($row = $result->fetch_assoc()) {
    echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
  }
} else {
  echo "0 结果";
}

这里用了$stmt->get_result()来获取结果集，你需要确保你的PHP版本支持这个方法。如果不支持，可以使用$stmt->bind_result()和$stmt->fetch()来获取数据，稍微麻烦一点。

为什么我的预处理语句执行总是失败？

可能的原因有很多，但最常见的是以下几种：

SQL语法错误： 仔细检查你的SQL语句，看看是否有拼写错误、缺少引号、括号不匹配等问题。可以使用echo $sql; 打印SQL语句，然后在数据库客户端工具中执行，看看是否报错。
参数类型不匹配： 确保bind_param()中指定的参数类型与数据库字段的类型一致。例如，如果数据库字段是整数类型，但你传递的是字符串类型，就会出错。
参数数量不匹配： 确保bind_param()中指定的参数数量与SQL语句中占位符的数量一致。
数据库连接错误： 检查数据库连接是否成功。可以使用$conn->connect_error 获取连接错误信息。
权限问题： 确保你的数据库用户有足够的权限执行SQL语句。

如果还是不行，可以尝试开启MySQL的错误日志，看看是否有更详细的错误信息。

如何处理预处理语句中的NULL值？

处理NULL值稍微有点tricky。你不能直接把NULL作为参数传递给bind_param()，因为bind_param()需要一个变量的引用。

一种方法是使用三元运算符：

$firstname = $_POST['firstname'] ?: NULL; // 如果 $_POST['firstname'] 为空，则 $firstname 为 NULL
$lastname = $_POST['lastname'] ?: NULL;
$email = $_POST['email'];

$sql = "INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)";
$stmt = $conn->prepare($sql);

if ($firstname === NULL && $lastname === NULL) {
  $stmt->bind_param("ss", $email);
} elseif ($firstname === NULL) {
    $stmt->bind_param("ss", $lastname, $email);
} elseif ($lastname === NULL) {
    $stmt->bind_param("ss", $firstname, $email);
}
else {
  $stmt->bind_param("sss", $firstname, $lastname, $email);
}
$stmt->execute();

这种方法比较繁琐，需要根据不同的情况编写不同的代码。

另一种更简洁的方法是使用mysqli_stmt::send_long_data()。

$firstname = $_POST['firstname'];
$lastname = $_POST['lastname'];
$email = $_POST['email'];

$sql = "INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)";
$stmt = $conn->prepare($sql);

$null = NULL;
if ($firstname === "") {
  $stmt->bind_param("bss", $null, $lastname, $email);
  $stmt->send_long_data(0, null);
} elseif ($lastname === "") {
  $stmt->bind_param("sbs", $firstname, $null, $email);
  $stmt->send_long_data(1, null);
} else {
  $stmt->bind_param("sss", $firstname, $lastname, $email);
}
$stmt->execute();

这种方法需要将NULL值替换为空字符串，并在bind_param()中使用b类型，然后使用send_long_data()发送NULL值。

无论使用哪种方法，都要确保你的代码能够正确处理NULL值，避免出现意外的错误。

预处理语句还能防止其他类型的攻击吗？

虽然预处理语句主要用于防止SQL注入，但它也能在一定程度上防止其他类型的攻击，例如：