PHP MySQL 安全插入数据：防止 SQL 注入攻击

防止 SQL 注入攻击是保证数据库安全的重要一环，以下是 PHP MySQL 插入语句的防注入写法：

1. 使用预处理语句

使用预处理语句是防止 SQL 注入攻击最常见的方法之一。它通过将 SQL 查询语句和参数分开处理，从而避免了 SQL 注入攻击。以下是一段使用预处理语句的 PHP MySQL 插入代码：

$stmt = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

2. 对输入数据进行过滤

对输入数据进行过滤也是防止 SQL 注入攻击的一种方法。可以使用 PHP 的内置函数 mysqli_real_escape_string() 对输入的数据进行过滤，例如：

$username = mysqli_real_escape_string($conn, $_POST['username']);
$password = mysqli_real_escape_string($conn, $_POST['password']);
$sql = "INSERT INTO users (username, password) VALUES ('$username', '$password')";

3. 使用 PDO 的 prepare() 和 execute()

PDO 是 PHP 的一个数据库连接抽象层，可以使代码更简洁、更安全。以下是一段使用 PDO 的 prepare() 和 execute() 的 PHP MySQL 插入代码：

$stmt = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');
$stmt->execute(array(':username' => $username, ':password' => $password));

需要注意的是，PDO 的 prepare() 和 execute() 在处理参数时会自动进行参数类型转换，所以不需要对参数进行额外的处理。