PHP 是一種常用的服務器端腳本語言，常用于構建動態網站。而 MySQL 則是一種常用的關系型數據庫管理系統，常用于存儲和查詢數據。將 PHP 和 MySQL 結合起來使用，可以讓網站具有更強大的動態交互性。在 PHP 中，使用 bind() 函數來實現“綁定參數”功能，防止 SQL 注入攻擊。 綁定參數是指將 SQL 語句中需要動態獲取的參數（用戶輸入等）與 PHP 變量綁定在一起，避免直接將參數拼接在 SQL 語句中，從而防止 SQL 注入攻擊。下面通過一個簡單的例子來說明如何使用 bind() 函數。 假設我們要查詢某個用戶的信息，我們需要從前端獲取用戶輸入的賬號和密碼，然后通過 SQL 語句進行查詢。如果我們直接將賬號和密碼拼接在 SQL 語句中，那么如果有人輸入惡意的 SQL 語句，就會導致 SQL 注入攻擊。具體代碼如下所示：

<?php
$account = $_POST['account'];
$password = $_POST['password'];
$sql = "SELECT * FROM users WHERE account='$account' AND password='$password'";
// 執行 SQL 查詢
?>

上面的代碼中，我們使用 $_POST 獲取到用戶輸入的賬號和密碼，然后將它們直接拼接在 SQL 語句中，這是非常危險的。 為了避免 SQL 注入攻擊，我們可以使用 bind() 函數來綁定參數。具體代碼如下所示：

<?php
$account = $_POST['account'];
$password = $_POST['password'];
// 準備 SQL 語句
$sql = "SELECT * FROM users WHERE account=? AND password=?";
// 綁定參數
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("ss", $account, $password);
// 執行 SQL 查詢
$stmt->execute();
?>

上面的代碼中，我們首先準備 SQL 語句，使用 ? 占位符表示需要動態獲取的參數。然后使用 $mysqli->prepare() 函數來準備 SQL 語句，將它預處理為一個語句對象 $stmt。接著使用 $stmt->bind_param() 函數來綁定參數，第一個參數表示參數的類型，這里我們使用 ss 表示兩個參數都是字符串類型，第二個參數表示要綁定的 PHP 變量。 需要注意的是，參數的個數和類型必須與 SQL 語句中的占位符一一對應。上面的例子中，我們有兩個占位符，分別表示賬號和密碼，因此需要綁定兩個參數，分別對應 $account 和 $password 兩個變量。如果 SQL 語句中有多個占位符，就需要綁定對應數量的參數。例如，SQL 語句中有三個占位符，則需要使用 $stmt->bind_param("sss", $var1, $var2, $var3) 進行綁定。 使用 bind() 函數可以有效地防止 SQL 注入攻擊，并提高網站的安全性。同時，綁定參數還能夠提高 SQL 查詢的性能，避免一些不必要的編譯操作。 需要注意的是，bind() 函數只能用于預處理語句（即使用 $mysqli->prepare() 函數預處理的語句），不能用于直接執行 SQL 語句。如果我們使用 $mysqli->query() 直接執行 SQL 語句，就不能使用 bind() 函數進行參數綁定。因此，在編寫 PHP 代碼時，應當盡量使用預處理語句，避免直接執行 SQL 語句。