## SQL參數綁定 參數綁定就是綁定一個PHP變量到用作預處理的SQL語句中的對應命名占位符或問號占位符。可以有效的防止SQL注入。 **注：要求無論何時盡量使用參數綁定的形式來構建SQL語句** 在系統中直接運行SQL語句操作數據庫的函數（`pdo_fetch()`、`pdo_fetchall()`、`pdo_fetchcolumn()`、`pdo_query()`）需要開發人員手動綁定參數，以`pdo_fetch()`函數為例： ~~~ $row = pdo_fetch("SELECT * FROM ".tablename('users')." WHERE username = :username", array(':username' => '米粥')); ~~~ > 上例中 :username 參數占位符，系統中只支持 :var 以冒號+變量名的占位符 > 第二個參數中 ‘:username’ 對應的值，則為要傳入的真正的值 ~~~ $row = pdo_fetch("SELECT * FROM ".tablename('users')." WHERE username LIKE :username", array(':username' => '%米%')); ~~~ > 上例中演示如何綁定Like查詢 ~~~ $row = pdo_query("DELETE FROM ".tablename('users')." WHERE uid = :uid", array(':uid' => '1')); ~~~ ~~~ $row = pdo_query("DELETE FROM ".tablename('users')." WHERE uid IN (:uid_1, :uid_2, :uid_3)", array(':uid_1' => '1', ':uid_2' => '2', ':uid_3' => '3')); ~~~ ## 禁用高危SQL函數、表達式 在微擎系統中，為了保證SQL注入安全，系統還禁用了一些SQL語句中高危的表達式、函數，開發者在開發模塊時，盡量不要使用以下關鍵字。 ### 禁用函數 * load\_file * hex * substring * if * ord * char * updatexml ### 禁用關鍵字 * @ * into outfile * into dumpfile * union select * union all * union distinct ### 禁用一切SQL注釋 * /\* * \*/ * # * –