sql 使用预处理语句怎么使用

你可以通过以下步骤来使用 SQL 预处理语句：

1. 建立数据库连接。
2. 使用 prepare() 预处理方法将 SQL 语句传递给数据库。
3. 通过绑定变量的方式将变量与 SQL 语句绑定。
4. 执行预处理语句并传递变量值。
5. 获取查询结果并关闭预处理语句。

下面是一个简单的 PHP 代码示例：

// 建立连接
$conn = new mysqli("localhost", "username", "password", "database");

// 准备预处理语句
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");

// 绑定变量
$stmt->bind_param("ss", $username, $password);

// 设置变量并执行预处理语句
$username = "john";
$password = "password123";
$stmt->execute();

// 获取查询结果
$result = $stmt->get_result();
$user = $result->fetch_assoc();

// 关闭预处理语句和连接
$stmt->close();
$conn->close();

在这个例子中，我们建立了一个名为 `users` 的表，并使用预处理语句来查询具有特定用户名和密码的用户。注意，我们使用 `bind_param()` 方法来绑定两个字符串变量到 SQL 语句，并使用 `s` 参数类型表示它们是字符串。这种方法有助于防止 SQL 注入攻击。