简介

在PHP中处理数据库操作时，防止SQL注入是一个至关重要的话题。PDO（PHP Data Objects）提供了一个数据库访问抽象层，不仅支持多种数据库系统，还提供预处理语句功能，有效防止SQL注入攻击。

PDO基本使用示例

首先，你需要配置数据库连接：

配置数据库连接

<?php
$dsn = 'mysql:host=localhost;dbname=testdb';
$username = 'root';
$password = '';

try {
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "数据库连接成功！";
} catch (PDOException $e) {
    echo "连接失败: " . $e->getMessage();
}
?>
        

预处理语句（Prepared Statements）

预处理语句是将SQL语句的结构和数据分开，这样即使数据包含恶意代码，也无法影响SQL语句的结构，从而有效防止SQL注入。

示例：插入数据

<?php
// 假设已经成功连接数据库

$stmt = $pdo->prepare("INSERT INTO users (username, email, password) VALUES (:username, :email, :password)");

$data = [
    'username' => 'exampleUser',
    'email' => 'user@example.com',
    'password' => password_hash('securePassword', PASSWORD_BCRYPT)
];

try {
    $stmt->execute($data);
    echo "新用户插入成功！";
} catch (PDOException $e) {
    echo "插入失败: " . $e->getMessage();
}
?>
        

示例：查询数据

<?php
// 假设已经成功连接数据库

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");
$stmt->execute(['username' => 'exampleUser']);

$users = $stmt->fetchAll(PDO::FETCH_ASSOC);

foreach ($users as $user) {
    echo $user['username'] . " - " . $user['email'] . "
";
}
?>
        

总结

使用PDO及其预处理语句功能不仅可以提高数据库操作的灵活性，更能有效防止SQL注入，保障Web应用的安全性。通过上述示例，你可以轻松掌握如何在PHP中使用PDO进行安全的数据库操作。

希望这篇教程对你有所帮助，如果你有任何疑问或建议，欢迎留言交流。