php提升网站安全的参数化查询怎样做增删查改？

参数化查询的增删查改

<?php
// php参数化查询增删查改
$host = 'localhost';
$dbname = 'demo_db';
$username = 'root';
$password = ''; // 或者设置你的数据库密码

try {
    // 创建一个新的数据库连接
    $conn = new mysqli($host, $username, $password, $dbname);

    // 检查连接
    if ($conn->connect_error) {
        die("Connection failed: " . $conn->connect_error);
    }

    // 创建用户
    if (isset($_POST['create'])) {
        $name = $_POST['name'];
        $email = $_POST['email'];

        $stmt = $conn->prepare("INSERT INTO users (name, email) VALUES (?, ?)");
        $stmt->bind_param("ss", $name, $email);
        $stmt->execute();
        $stmt->close();
        echo "User created successfully.";
    }

    // 查询用户
    if (isset($_GET['read'])) {
        $id = $_GET['read'];

        $stmt = $conn->prepare("SELECT id, name, email FROM users WHERE id = ?");
        $stmt->bind_param("i", $id);
        $stmt->execute();
        $result = $stmt->get_result();

        if ($result->num_rows > 0) {
            while ($row = $result->fetch_assoc()) {
                echo "ID: " . $row["id"] . " - Name: " . htmlspecialchars($row["name"]) . " - Email: " . htmlspecialchars($row["email"]);
            }
        } else {
            echo "No results found.";
        }
        $stmt->close();
    }

    // 更新用户
    if (isset($_POST['update'])) {
        $id = $_POST['id'];
        $name = $_POST['name'];
        $email = $_POST['email'];

        $stmt = $conn->prepare("UPDATE users SET name = ?, email = ? WHERE id = ?");
        $stmt->bind_param("ssi", $name, $email, $id);
        $stmt->execute();
        $stmt->close();
        echo "User updated successfully.";
    }

    // 删除用户
    if (isset($_GET['delete'])) {
        $id = $_GET['delete'];

        $stmt = $conn->prepare("DELETE FROM users WHERE id = ?");
        $stmt->bind_param("i", $id);
        $stmt->execute();
        $stmt->close();
        echo "User deleted successfully.";
    }

} catch (Exception $e) {
    echo "Error: " . $e->getMessage();
}

// 关闭连接
$conn->close();
?>

html演示

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>CRUD Operations</title>
</head>
<body>
    <h1>Create User</h1>
    <form action="crud.php" method="post">
        Name: <input type="text" name="name"><br>
        Email: <input type="email" name="email"><br>
        <input type="submit" name="create" value="Create">
    </form>

    <h1>Read User</h1>
    <form action="crud.php" method="get">
        ID: <input type="number" name="read"><br>
        <input type="submit" value="Read">
    </form>

    <h1>Update User</h1>
    <form action="crud.php" method="post">
        ID: <input type="number" name="id"><br>
        New Name: <input type="text" name="name"><br>
        New Email: <input type="email" name="email"><br>
        <input type="submit" name="update" value="Update">
    </form>

    <h1>Delete User</h1>
    <form action="crud.php" method="get">
        ID: <input type="number" name="delete"><br>
        <input type="submit" value="Delete">
    </form>
</body>
</html>

附注

输入验证：除了使用参数化查询外，还需要对用户输入的数据进行验证，确保它们符合预期的格式和范围。
输出编码：确保任何从数据库获取并在网页上显示的数据都被适当编码，以防止跨站脚本（XSS）攻击。
会话管理：确保会话令牌的安全性，防止会话劫持。
文件上传：对于允许用户上传文件的功能，要确保文件类型和内容是安全的，防止上传恶意文件。
权限控制：确保只有授权用户才能访问敏感数据或执行敏感操作。
加密通信：使用HTTPS协议加密客户端与服务器之间的通信，防止中间人攻击。
日志记录与监控：定期检查日志文件，监测任何异常行为或潜在的攻击尝试。
安全更新与补丁：及时更新所有使用的软件和库，修补已知的安全漏洞。
第三方服务安全：确保第三方服务提供商也是安全的，尤其是在使用外部API和服务的情况下。
安全审计：定期进行安全审计和渗透测试，发现潜在的安全漏洞。
错误处理：妥善处理错误信息，避免泄露过多细节给攻击者利用。