php查询数据库时，防止SQL注入

PHP中防止SQL注入的方式主要有两种：

1. 使用预处理语句

预处理语句是将查询语句提前准备好，然后再将参数传递到查询语句中，这样可以防止SQL注入攻击。在PHP中，我们可以使用PDO或mysqli扩展来实现预处理语句。以下是使用mysqli实现预处理语句的示例代码：

// 数据库连接
$host = 'localhost';
$user = 'username';
$pass = 'password';
$dbName = 'database_name';
$db = mysqli_connect($host, $user, $pass, $dbName);
if (!$db) {
  die("无法连接到数据库: " . mysqli_connect_error());
}

// 防止SQL注入
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
  $username = $_POST['username'];
  $password = $_POST['password'];
  
  $stmt = $db->prepare("SELECT * FROM users WHERE username=? AND password=?");
  $stmt->bind_param("ss", $username, $password);
  $stmt->execute();
  $result = $stmt->get_result();

  // 处理查询结果
}

在上述代码中，我们使用了mysqli的prepare()函数来准备查询语句，其中使用了参数占位符（?）来代替实际的参数。然后使用了bind_param()函数来绑定参数，其中第一个参数“ss”表示后面的参数都是字符串类型，这样可以确保参数传递时正确，避免了SQL注入的风险。

2. 对特殊字符进行转义

除了使用预处理语句，我们也可以对特殊字符进行转义，例如使用mysqli_real_escape_string函数，该函数将特殊字符转义为安全字符。以下是对特殊字符进行转义的示例代码：

// 数据库连接
$host = 'localhost';
$user = 'username';
$pass = 'password';
$dbName = 'database_name';
$db = mysqli_connect($host, $user, $pass, $dbName);
if (!$db) { 
  die("无法连接到数据库: " . mysqli_connect_error()); 
}

// 防止SQL注入
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
  $username = mysqli_real_escape_string($db, $_POST['username']);
  $password = mysqli_real_escape_string($db, $_POST['password']);
  
  $sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";
  $result = mysqli_query($db, $sql);

  // 处理查询结果
}

在上述代码中，我们使用了mysqli_real_escape_string函数对数据进行了转义，确保了输入的数据不包含特殊字符，从而防止了SQL注入攻击。