PHP数据库连接的常见陷阱及解决方法：保护你的数据

// 错误代码
if (!$conn) {
  die("连接数据库失败！");
}

// 推荐代码：使用 PDO（推荐使用 PDO）
try {
  $conn = new PDO($dsn, $username, $password);
  $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $e) {
  die("连接数据库失败：" . $e->getMessage());
}

// 错误代码
// 忘记关闭 $conn 连接

// 推荐代码
$conn->close(); // PDO
mysqli_close($conn); // mysqli

// 错误代码：未转义用户输入
$sql = "SELECT * FROM users WHERE username='" . $_POST['username'] . "'";

// 推荐代码：使用 PDO 参数化查询
$sql = "SELECT * FROM users WHERE username = :username";
$stmt = $conn->prepare($sql);
$stmt->bindParam(':username', $_POST['username'], PDO::PARAM_STR);
$stmt->execute();

// 错误代码：忽略错误
mysqli_query($conn, "SELECT * FROM missing_table");

// 推荐代码：使用 PDO 异常处理
try {
  $stmt = $conn->query("SELECT * FROM missing_table");
} catch (PDOException $e) {
  echo "执行查询出错：" . $e->getMessage();
}

// 验证连接
if (!$conn) {
  die("无法连接到数据库！");
}

// 参数化 SQL 查询
$sql = "SELECT * FROM users WHERE username = :username AND password = :password";
$stmt = $conn->prepare($sql);
$stmt->bindParam(':username', $_POST['username'], PDO::PARAM_STR);
$stmt->bindParam(':password', $_POST['password'], PDO::PARAM_STR);

// 执行查询
try {
  $stmt->execute();
} catch (PDOException $e) {
  echo "登录时出错：" . $e->getMessage();
}

// 验证结果
$result = $stmt->fetch();
if (!$result) {
  echo "登录失败！用户名或密码不正确。";
} else {
  // 成功登录...
}