PHP的mysqli_query()函数：如何向MySQL数据库发出查询请求？

PHP中的mysqli_query()函数是一种用于在MySQL数据库中执行SQL查询的方法。本文将详细介绍mysqli_query()函数及其用法。

mysqli_query()函数用于向MySQL数据库发出查询请求。它的语法如下：

mysqli_query(connection,query)

其中，connection参数是通过mysqli_connect()函数建立的数据库连接对象，query参数是要执行的SQL查询语句。

对于SELECT等查询语句，mysqli_query()函数返回一个结果集对象。对于INSERT、UPDATE、DELETE等非查询语句，mysqli_query()函数返回一个布尔值表示操作是否成功执行。

下面是使用mysqli_query()函数执行一条简单的SELECT查询语句的示例：

$conn = mysqli_connect("localhost", "my_user", "my_password", "my_db");

$result_set = mysqli_query($conn, "SELECT * FROM users");

在上面的示例中，首先通过mysqli_connect()函数建立一个数据库连接，然后执行一条SELECT查询语句，将结果集保存在$result_set变量中。

接下来，可以使用mysqli_fetch_array()函数、mysqli_fetch_assoc()函数等方法从结果集中取出数据。例如：

while($row = mysqli_fetch_assoc($result_set)) {

  echo "ID: " . $row["id"] . " Name: " . $row["name"] . "<br>";

}

以上代码将遍历结果集中的所有数据，输出每行数据的ID和Name字段。

为了保持代码的可读性和可维护性，建议在使用mysqli_query()函数时，将查询语句拆分成多行，例如：

$sql = "SELECT id,

          name,

          email,

          password

        FROM users

        WHERE email = '$email'";

在使用mysqli_query()函数时，需要注意一些安全问题：

1. 防止SQL注入攻击：在拼接SQL查询语句时，应避免直接拼接用户输入的数据。应该使用mysqli_real_escape_string()函数或预处理语句来净化输入数据。

2. 防止XSS攻击：在向网页输出数据时，应该使用htmlspecialchars()等函数对特殊字符进行转义，防止XSS攻击。

3. 防止CSRF攻击：在进行敏感操作时，应该检查用户身份（如通过登录状态）以防止跨站点请求伪造攻击。

总的来说，mysqli_query()函数是一个非常实用的方法，能够满足大多数基本查询的需求。但是，在使用该函数时，需要注意一些安全问题，避免被攻击。