正确使用bind_param？

Question

我正在为一个应用程序(学校作业)做一个登录，我正在学习如何正确地使用mysqli类。下面是我的应用程序中的两个方法，用于检查用户输入的用户名和密码是否正确(即。是否存在于数据库中)。

我的问题是，这是否是使用bind_param的正确方式，还是为此目的使用它甚至可能是“过火”？可以/应该用另一种方式来做吗？

来自LoginModel.php

public function DoLogin($username, $password){

    $query = "SELECT * FROM Users WHERE username=? AND password=?"; 
    $stmt = $this->m_db->Prepare($query);

    $stmt->bind_param("ss", $username, $password);

    $ret = $this->m_db->CheckUser($stmt);

    return $ret;
}

来自Database.php

public function CheckUser($stmt) {

    if ($stmt->execute() == false) {
        throw new \Exception($this->mysqli->error);
    }
    $ret = 0;

    // $field1 = id, $field2 = username, $field3 = password
    if ($stmt->bind_result($field1, $field2, $field3) == FALSE) {
        throw new \Exception($this->mysqli->error);
    }

    if ($stmt->fetch()) {
        return true;        // Match exists in db           
    } else {
        return false;       // Match doesn't exist in db
    }
}

Answer 1

不，这不是过火。bind_param的目的是允许MySQLi引擎准备针对不良影响的命令。最常见的情况是，它有助于防止SQL注入类型的攻击。你正在使用它，正如你应该使用的。