使用PHP的預(yù)處理語句執(zhí)行SELECT查詢可有效防止SQL注入并提升安全性。1. 預(yù)處理語句通過將SQL結(jié)構(gòu)與數(shù)據(jù)分離，先發(fā)送模板后傳參數(shù)，避免惡意輸入篡改SQL邏輯；2. PHP中常用PDO和MySQLi擴(kuò)展實現(xiàn)預(yù)處理，其中PDO支持多數(shù)據(jù)庫、語法統(tǒng)一，適合新手或需要移植性的項目；3. MySQLi專為MySQL設(shè)計，性能更優(yōu)但靈活性較低；4. 使用時應(yīng)選擇合適占位符（如?或命名占位符），通過execute()綁定參數(shù)，避免手動拼接SQL；5. 注意處理錯誤及空結(jié)果，確保代碼健壯性；6. 查詢結(jié)束后及時關(guān)閉資源，提升程序穩(wěn)定性。兩種方式均能防注入，選擇取決于項目需求與個人偏好。

用 PHP 的預(yù)處理語句執(zhí)行 SELECT 查詢，是防止 SQL 注入、提升數(shù)據(jù)庫操作安全性的常用做法。如果你之前直接拼接 SQL 字符串來查詢，建議盡快換成 prepared statement。

什么是預(yù)處理語句？

預(yù)處理語句（prepared statement）是一種將 SQL 語句結(jié)構(gòu)和數(shù)據(jù)分離的機(jī)制。它先發(fā)送一個帶有占位符的 SQL 模板給數(shù)據(jù)庫，等參數(shù)準(zhǔn)備好后再傳值進(jìn)去執(zhí)行。這種“先編譯后傳參”的方式能有效防止 SQL 注入攻擊，同時也能提高多次執(zhí)行相似查詢時的效率。

在 PHP 中，常用的兩種數(shù)據(jù)庫擴(kuò)展支持預(yù)處理語句：PDO 和 MySQLi。下面會分別說明如何使用它們進(jìn)行 SELECT 查詢。

使用 PDO 執(zhí)行帶預(yù)處理的 SELECT 查詢

PDO 是一個更通用、支持多種數(shù)據(jù)庫的擴(kuò)展，語法統(tǒng)一，推薦新手或希望代碼更具可移植性的人使用。

基本步驟如下：

• 連接數(shù)據(jù)庫
• 準(zhǔn)備 SQL 語句
• 綁定參數(shù)（可選）
• 執(zhí)行查詢
• 獲取結(jié)果

示例代碼：

$host = '127.0.0.1';
$db   = 'test_db';
$user = 'root';
$pass = '';
$charset = 'utf8mb4';

$dsn = "mysql:host=$host;dbname=$db;charset=$charset";
$opt = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
];
$pdo = new PDO($dsn, $user, $pass, $opt);

$stmt = $pdo->prepare('SELECT id, name, email FROM users WHERE id = ?');
$stmt->execute([$_GET['id']]);
$user = $stmt->fetch();

if ($user) {
    echo 'ID: ' . $user['id'] . '<br>';
    echo 'Name: ' . $user['name'] . '<br>';
    echo 'Email: ' . $user['email'];
} else {
    echo '用戶不存在';
}

幾點注意：

• ? 是占位符，適合按順序傳參。
• 也可以使用命名占位符如 :id，然后通過 bindParam() 或 execute([':id' => $_GET['id']]) 來綁定。
• 不要手動拼接變量進(jìn) SQL 字符串，否則就失去了防注入的意義。

使用 MySQLi 執(zhí)行帶預(yù)處理的 SELECT 查詢

MySQLi 是專為 MySQL 設(shè)計的擴(kuò)展，性能略優(yōu)，但不如 PDO 靈活。

以下是面向?qū)ο蠓绞降暮唵问纠?/p>

$mysqli = new mysqli('localhost', 'root', '', 'test_db');

if ($mysqli->connect_error) {
    die('連接失敗: ' . $mysqli->connect_error);
}

$stmt = $mysqli->prepare('SELECT id, name, email FROM users WHERE id = ?');
$stmt->bind_param('i', $id);
$id = $_GET['id'];
$stmt->execute();
$result = $stmt->get_result();

if ($row = $result->fetch_assoc()) {
    echo 'ID: ' . $row['id'] . '<br>';
    echo 'Name: ' . $row['name'] . '<br>';
    echo 'Email: ' . $row['email'];
} else {
    echo '用戶不存在';
}

$stmt->close();
$mysqli->close();

注意事項：

• bind_param() 中的類型標(biāo)識符必須正確，比如 'i' 表示整數(shù)，'s' 表示字符串。
• 如果你不確定輸入類型，可以先做驗證或轉(zhuǎn)換。
• 要記得關(guān)閉語句和連接資源，雖然 PHP 會在腳本結(jié)束自動釋放，但顯式關(guān)閉是個好習(xí)慣。

哪種方式更好？

這個問題沒有絕對答案，取決于你的項目需求和個人偏好：

• 如果你需要兼容多種數(shù)據(jù)庫，或者喜歡簡潔統(tǒng)一的寫法，用 PDO。
• 如果你只用 MySQL，并且追求極致性能，可以用 MySQLi。
• 都支持預(yù)處理，都能有效防止 SQL 注入。

另外，無論用哪種方式，都要注意以下幾點：

• 參數(shù)不要直接拼進(jìn) SQL
• 查詢后要做錯誤處理，比如 try catch 或 if 判斷返回值
• 查詢結(jié)果為空的情況也要處理，避免出錯

基本上就這些。用預(yù)處理其實不復(fù)雜，但容易忽略細(xì)節(jié)導(dǎo)致安全問題。只要按照上面的模式寫，就能寫出更健壯的代碼。

以上是PHP準(zhǔn)備的聲明選擇的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！