mysqli::stmt_init 和 prepare() 的标准用法示例

在 PHP 中使用 MySQLi 扩展进行数据库操作时，预处理语句（Prepared Statements）是确保数据安全和提高效率的重要手段。本文将详细介绍 mysqli::stmt_init 函数与 prepare() 方法的正确用法，并结合实际示例加以解析。

一、什么是 mysqli::stmt_init？

mysqli::stmt_init 是 MySQLi 提供的一个方法，用于初始化一个空的 mysqli_stmt（语句）对象。这个对象随后可以用于预处理 SQL 语句。

语法如下：

mysqli_stmt mysqli::stmt_init ( void )

它通常搭配 prepare() 方法使用，用于准备 SQL 语句。

二、什么是 prepare() 方法？

prepare() 方法用于准备一个 SQL 语句，该语句将在后续执行，并可使用参数绑定。这样可以有效防止 SQL 注入攻击。

语法如下：

bool mysqli_stmt::prepare ( string $query )

三、使用步骤详解

以下是使用 mysqli::stmt_init 和 prepare() 的标准流程：

1. 连接数据库

2. 初始化预处理语句对象

3. 使用 prepare() 准备语句

4. 绑定参数（如果有）

5. 执行语句

6. 获取结果（如果是查询语句）

7. 关闭语句和连接

四、详细代码示例

假设我们有一个用户表 users，包含字段：id, username, email。我们希望根据用户名查询该用户的邮箱。

<?php
// 第一步：建立数据库连接
$mysqli = new mysqli("localhost", "db_user", "db_password", "db_name");

// 检查连接是否成功
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

// 第二步：初始化预处理语句对象
$stmt = $mysqli->stmt_init();

// 第三步：准备 SQL 语句
$sql = "SELECT email FROM users WHERE username = ?";
if (!$stmt->prepare($sql)) {
    die("SQL 预处理失败: " . $stmt->error);
}

// 第四步：绑定参数
$username = "testuser";
$stmt->bind_param("s", $username);  // "s" 表示字符串类型

// 第五步：执行语句
$stmt->execute();

// 第六步：绑定结果并获取数据
$stmt->bind_result($email);
if ($stmt->fetch()) {
    echo "用户邮箱是: " . $email;
} else {
    echo "未找到该用户。";
}

// 第七步：关闭语句与连接
$stmt->close();
$mysqli->close();
?>

五、常见问题与注意事项

1. 为什么不用 prepare() 直接写 SQL？

虽然可以直接使用 query() 方法执行 SQL，但这样容易受到 SQL 注入攻击的威胁。prepare() 与参数绑定能有效防止这一问题。

2. stmt_init() 和 prepare() 的区别？

stmt_init() 是创建一个空的语句对象，而 prepare() 是将 SQL 模板加载到该对象中。你也可以跳过 stmt_init()，直接调用 $mysqli->prepare() 来一步完成初始化和准备。

3. 是否可以复用语句对象？

是的，只要 SQL 模板结构一致，语句对象可以复用，改变绑定的参数即可。

六、示例：使用 POST 表单插入数据

以下示例演示了如何通过表单提交数据，并安全地将其插入数据库中：

<?php
$mysqli = new mysqli("localhost", "db_user", "db_password", "db_name");

if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $username = $_POST["username"] ?? "";
    $email = $_POST["email"] ?? "";

    $stmt = $mysqli->stmt_init();
    if ($stmt->prepare("INSERT INTO users (username, email) VALUES (?, ?)")) {
        $stmt->bind_param("ss", $username, $email);
        if ($stmt->execute()) {
            echo "用户注册成功！";
        } else {
            echo "执行失败：" . $stmt->error;
        }
        $stmt->close();
    }
}

$mysqli->close();
?>
<form method="POST" action="https://m66.net/register.php">
    用户名：<input type="text" name="username" required><br>
    邮箱：<input type="email" name="email" required><br>
    <input type="submit" value="注册">
</form>

七、总结

mysqli::stmt_init 和 prepare() 的组合为 PHP 提供了强大的数据库安全机制。通过参数绑定不仅能防止 SQL 注入，还能提高执行效率。在实际开发中，推荐始终使用预处理语句来操作数据库。

是否想继续了解更多关于 MySQLi 中 bind_param() 和 bind_result() 的高级用法？