php mysql 参数化 查询,mysql sql php 参数化查询

参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值，这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。

有部份的开发人员可能会认为使用参数化查询，会让程序更不好维护，或者在实现部份功能上会非常不便，然而，使用参数化查询造成的额外开发成本，通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击，所造成的重大损失。

原理

在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数运行，因此就算参数中含有具破坏性的指令，也不会被数据库所运行。 SQL 指令撰写方法

在撰写 SQL 指令时，利用参数来代表需要填入的数值，例如： Microsoft SQL Server

Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成，SQL Server 亦支持匿名参数 "?"。 SELECT*FROM myTable WHERE myID =

@myID

INSERTINTO myTable (c1, c2, c3, c4)VALUES(@c1, @c2, @c3, @c4) Microsoft Access

Microsoft Access 不支持具名参数，只支持匿名参数 "?"。

UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ? MySQL

MySQL 的参数格式是以 "?" 字符加上参数名称而成。

UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4 客户端程序撰写方法

PHP

$query=sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'", mysql_real_escape_string($Username),

mysql_real_escape_string($Password));

mysql_query($query);

或是 $db=new mysqli("localhost","user","pass","database");

$stmt=$mysqli->prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");

$stmt->bind_param("ss",$user,$pass);

$stmt->execute();

转自：http://zh.wikipedia.org/w/index.php?title=%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2&variant=zh-cn