在PHP中全面禁止SQL注进式攻击之二

在PHP中全面禁止SQL注入式攻击的方法之二是使用预处理语句（Prepared Statements）。

预处理语句是一种在执行SQL查询之前将查询语句和参数分离的方法。通过将查询语句和参数分开，在执行查询之前，数据库会先编译查询语句，然后再将参数传递给查询语句执行，这样就可以避免SQL注入攻击。

以下是使用预处理语句的示例代码：

// 假设有一个表名为users，其中包含id和name两列
$mysqli = new mysqli("localhost", "username", "password", "database");

// 创建预处理语句
$stmt = $mysqli->prepare("SELECT * FROM users WHERE id = ?");

// 绑定参数
$id = $_GET['id']; // 假设从用户输入中获取id参数
$stmt->bind_param("i", $id); // "i"表示参数为整数类型

// 执行查询
$stmt->execute();

// 获取结果
$result = $stmt->get_result();

// 处理结果
while ($row = $result->fetch_assoc()) {
    // 处理每一行数据
}

// 关闭预处理语句和数据库连接
$stmt->close();
$mysqli->close();

使用预处理语句可以确保参数被正确地转义和引用，从而防止SQL注入攻击。无论参数中是否包含恶意代码，数据库都会将其作为数据而不是SQL语句的一部分进行处理。