PHP：将值从窗体插入MySQL

以下代码仅声明了一个包含MySQL查询的字符串变量：

$sql = "INSERT INTO users (username, password, email) VALUES ('".$_POST["username"]."','".$_POST["password"]."','".$_POST["email"]."')"; 它不执行查询。为此，您需要使用一些功能，但让我先解释一下。

永远不要信任用户输入：永远不要将用户输入（例如来自$_GET或的表单输入$_POST）直接附加到查询中。有人可以以这种方式小心地操作输入，以免对您的数据库造成严重损害。这就是所谓的SQL注入。您可以在这里了解更多信息

为了保护脚本免受此类攻击，您必须使用“预处理语句”。有关准备好的声明的更多信息，请点击此处

将准备好的语句包括在您的代码中，如下所示：

$sql = "INSERT INTO users (username, password, email) VALUES (?,?,?)"; 注意如何将?用作值的占位符。接下来，您应该使用mysqli_prepare以下语句准备语句：

$stmt = mysqli_prepare($sql); 然后开始将输入变量绑定到准备好的语句：

$stmt->bind_param("sss", $_POST['username'], $_POST['email'], $_POST['password']); 最后执行准备好的语句。（这是实际插入的地方）

$stmt->execute(); 注意尽管不是问题的一部分，但我强烈建议您不要以明文形式存储密码。相反，您应该使用password_hash存储密码的哈希值来源：stack overflow