我試圖了解何時應(yīng)該在 php/mysqli 中使用準(zhǔn)備好的語句。每個 php/mysqli 查詢都應(yīng)該使用準(zhǔn)備好的語句還是只使用涉及用戶輸入的查詢和實例……例如要求用戶輸入數(shù)據(jù)以在數(shù)據(jù)庫中搜索的 html 表單？我正在將舊的 php5/mysql 代碼遷移到 php7/mysqli。我有許多查詢 mysql 數(shù)據(jù)庫的 php 文件。如果我需要為連接到 mysql db 的每個 php 文件使用準(zhǔn)備好的語句，我想澄清一下……例如，通過“php require”引用的 php 文件并包含簡單的 sql select 語句來呈現(xiàn)圖像和指向 html 的鏈接頁？<?php//establish connection$con = new mysqli('localhost','uid','pw','db');//check connectionif ($con->connect_error) {die("Connection failed: " . $con->connect_error);  }//search variable that stores user input$search = "%{$_POST['search']}%";//prepare, bind and fetch$stmt = $con->prepare("SELECT image, caption FROM `tblimages`WHERE catid = 3 AND caption LIKE ? order by caption ASC");$stmt->bind_param("s", $search);$stmt->execute();$stmt->bind_result($image,$caption);while ($stmt->fetch()) {echo "{$image} <br> {$caption} <br>";    }$stmt->close();//close database connectionmysqli_close($con);?>上面的代碼有效并且是我第一次使用準(zhǔn)備好的語句。它從表單（空白框輸入搜索詞 - POST）獲取用戶輸入并搜索 db ... 然后將結(jié)果呈現(xiàn)到 html 頁面。這似乎是準(zhǔn)備好的語句的合乎邏輯的用法。但是...我有其他 php 文件，其中用戶從表單中的下拉框中選擇數(shù)據(jù)以呈現(xiàn)結(jié)果（用戶不會像上面那樣將數(shù)據(jù)輸入到搜索框中）。我是否也為該實例使用準(zhǔn)備好的語句？另外，我是否對通過“php require”引用的 php 文件使用準(zhǔn)備好的語句，并包含簡單的 sql select 語句來呈現(xiàn)圖像和指向 html 頁面的鏈接？我還沒有找到使用準(zhǔn)備好的語句來防止 sql 注入的特定實例的說明。歡迎任何澄清或參考。