我試圖了解何時應該在 php/mysqli 中使用準備好的語句。每個 php/mysqli 查詢都應該使用準備好的語句還是只使用涉及用戶輸入的查詢和實例……例如要求用戶輸入數據以在數據庫中搜索的 html 表單？我正在將舊的 php5/mysql 代碼遷移到 php7/mysqli。我有許多查詢 mysql 數據庫的 php 文件。如果我需要為連接到 mysql db 的每個 php 文件使用準備好的語句，我想澄清一下……例如，通過“php require”引用的 php 文件并包含簡單的 sql select 語句來呈現圖像和指向 html 的鏈接頁？<?php//establish connection$con = new mysqli('localhost','uid','pw','db');//check connectionif ($con->connect_error) {die("Connection failed: " . $con->connect_error);  }//search variable that stores user input$search = "%{$_POST['search']}%";//prepare, bind and fetch$stmt = $con->prepare("SELECT image, caption FROM `tblimages`WHERE catid = 3 AND caption LIKE ? order by caption ASC");$stmt->bind_param("s", $search);$stmt->execute();$stmt->bind_result($image,$caption);while ($stmt->fetch()) {echo "{$image} <br> {$caption} <br>";    }$stmt->close();//close database connectionmysqli_close($con);?>上面的代碼有效并且是我第一次使用準備好的語句。它從表單（空白框輸入搜索詞 - POST）獲取用戶輸入并搜索 db ... 然后將結果呈現到 html 頁面。這似乎是準備好的語句的合乎邏輯的用法。但是...我有其他 php 文件，其中用戶從表單中的下拉框中選擇數據以呈現結果（用戶不會像上面那樣將數據輸入到搜索框中）。我是否也為該實例使用準備好的語句？另外，我是否對通過“php require”引用的 php 文件使用準備好的語句，并包含簡單的 sql select 語句來呈現圖像和指向 html 頁面的鏈接？我還沒有找到使用準備好的語句來防止 sql 注入的特定實例的說明。歡迎任何澄清或參考。