php过滤提交数据 防止sql注入攻击

在 PHP 中，可以使用预处理语句和绑定参数来过滤提交的数据，以防止 SQL 注入攻击。下面是一个示例：

// 连接数据库
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "database";

$conn = new mysqli($servername, $username, $password, $dbname);

// 准备 SQL 语句
$sql = "SELECT * FROM users WHERE username = ? AND password = ?";

// 使用预处理语句
$stmt = $conn->prepare($sql);

// 绑定参数
$stmt->bind_param("ss", $username, $password);

// 设置参数值
$username = $_POST['username'];
$password = $_POST['password'];

// 执行查询
$stmt->execute();

// 获取结果
$result = $stmt->get_result();

// 处理结果
if ($result->num_rows > 0) {
    // 用户验证成功
} else {
    // 用户验证失败
}

// 关闭连接
$stmt->close();
$conn->close();

在上面的示例中，我们使用了预处理语句和绑定参数来过滤提交的数据。通过将参数绑定到 SQL 语句中的占位符，可以确保输入的数据不会被解释为 SQL 代码。这样可以有效地防止 SQL 注入攻击。