答案： php 提供的函数可防止 sql 注入攻击，包括转义字符、绑定参数、预处理语句和转义 html 特殊字符。详细描述：mysqli_real_escape_string()： 转义字符串中的特殊字符，使其无法被 sql 查询解释为语法。mysqli_bind_param()： 将参数绑定到预处理语句，防止攻击者修改输入参数执行恶意查询。pdo::prepare()： 创建预处理语句，用于安全地执行 sql 查询。pdo::quote()： 转义值，将其安全地嵌入 sql 查询中，支持多种数

PHP避免SQL注入的函数

SQL注入是一种常见的网络攻击，攻击者通过构造恶意SQL查询，在数据库中注入非法代码，从而获取敏感信息或破坏数据库。PHP提供了以下函数来帮助开发者防止SQL注入攻击。

1. mysqli_real_escape_string()

此函数用于转义字符串中的特殊字符，使其无法被SQL查询解释为语法。例如，将单引号（'）转义为转义单引号（'）。

立即学习“PHP免费学习笔记（深入）”；

$escaped_string = mysqli_real_escape_string($connection, $raw_string);

2. mysqli_bind_param()

此函数用于将参数绑定到预处理语句，而不是直接在SQL查询中嵌入参数。这可以防止攻击者通过修改输入参数来执行恶意查询。

$statement = mysqli_prepare($connection, "SELECT * FROM users WHERE username = ?");
mysqli_bind_param($statement, "s", $username);

3. PDO::prepare()

PHP数据对象（PDO）提供了一个更现代化的接口来处理数据库交互。其prepare()方法与mysqli_prepare()类似，用于创建预处理语句。

$statement = $pdo->prepare("SELECT * FROM users WHERE username = :username");
$statement->bindParam(':username', $username, PDO::PARAM_STR);

4. PDO::quote()

此函数用于将一个值转义为一个安全的字符串，可以嵌入到SQL查询中。与mysqli_real_escape_string()不同，PDO::quote()还支持其他数据类型，如整数和布尔值。

$quoted_value = $pdo->quote($value);

5. htmlspecialchars()

此函数用于转义HTML特殊字符，如尖括号（）和引号（" 和 '）。它通常用于防止跨站脚本（XSS）攻击，但也可以用来预防某些SQL注入攻击。

$escaped_html = htmlspecialchars($raw_html);

通过使用这些函数，开发者可以显著降低应用程序遭受SQL注入攻击的风险。