使用PHP函数处理数据库和SQL查询

PHP是一种流行的编程语言，常用于动态网站开发。它支持与数据库的连接和查询。本文将介绍PHP函数如何处理数据库和SQL查询。

数据库连接

要连接数据库，需要使用PHP中的mysqli或PDO扩展。具体选哪个取决于对数据库类型的要求，以及对编程风格的个人偏好。下面是一个使用mysqli扩展的示例：

$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检查连接
if ($conn->connect_error) {
  die("连接失败: " . $conn->connect_error);
}

在这个示例中，$servername是数据库服务器的名称或IP地址，$username和$password是连接数据库所需的用户名和密码，$dbname是要连接的数据库名称。连接失败时，我们使用die()函数结束程序并输出错误信息。

执行查询

连接到数据库后，可以执行SQL查询。mysqli扩展提供了一些函数来执行查询，例如query()，fetch_assoc()和num_rows()等。下面是一个基本示例：

$sql = "SELECT id, name, age FROM users";
$result = $conn->query($sql);

if ($result->num_rows > 0) {
  // 输出数据
  while($row = $result->fetch_assoc()) {
    echo "ID: " . $row["id"]. " - Name: " . $row["name"]. " - Age: " . $row["age"]. "<br>";
  }
} else {
  echo "0 个结果";
}

// 关闭连接
$conn->close();

在这个示例中，我们从名为“users”的表中选择id，name和age字段，并将结果存储在$result对象中。然后我们检查结果中是否有记录，在循环中遍历每条记录，并使用echo函数输出记录的内容。最后，我们通过close()函数关闭连接。

防止SQL注入攻击

SQL注入攻击是一种常见的攻击类型，可以通过特殊的输入数据来控制SQL查询。为了防止SQL注入攻击，必须对所有用户输入的数据进行验证和转义。可以使用mysqli的prepare()和bind_param()函数来为查询创建参数化查询。下面是一个示例：

$stmt = $conn->prepare("SELECT id, name, age FROM users WHERE name=?");
$stmt->bind_param("s", $name);

$name = "John";
$stmt->execute();

$result = $stmt->get_result();

if ($result->num_rows > 0) {
  // 输出数据
  while($row = $result->fetch_assoc()) {
    echo "ID: " . $row["id"]. " - Name: " . $row["name"]. " - Age: " . $row["age"]. "<br>";
  }
} else {
  echo "0 个结果";
}

$stmt->close();
$conn->close();

在这个示例中，我们使用prepare()函数创建一个参数化查询，其中?表示待填充的参数。然后我们使用bind_param()函数将参数绑定到查询中。最后，我们使用execute()函数执行查询，并使用get_result()函数获取结果对象。

总结

在PHP中处理数据库和SQL查询是一项重要的任务。使用mysqli或PDO扩展可以连接到数据库并执行查询。为了防止SQL注入攻击，必须对用户输入的数据进行验证和转义，并使用参数化查询。这些技术不仅可以保护数据库免受攻击，还可以确保查询返回的数据是安全的。