今天我們來討論一下PHP SQL占位符的用法。

在編寫PHP中與數據庫交互的代碼時，我們有時需要將用戶輸入的數據加入到SQL語句中，這種方式容易受到SQL注入攻擊。因此，我們需要使用一種更安全的方式將數據插入到SQL語句中，這就是SQL占位符。

SQL占位符是SQL語句中的一個特殊標記，我們可以將用戶輸入的數據替換為占位符，在執行SQL語句時，再將占位符替換為實際數據。

下面我們來舉一個例子，假設我們要查詢ID為1的用戶信息。

$sql = "SELECT * FROM users WHERE id = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([1]);
$user = $stmt->fetch();

在這個例子中，我們使用了一個問號占位符代替了ID值。在執行SQL語句時，execute()方法接受一個數組參數，參數中的值會依次替換占位符。在這個例子中，我們將值1作為參數傳遞給execute()方法，它將替換我們 SQL語句中的占位符。最終，我們可以通過fetch()方法獲取查詢結果。

在上面的例子中，我們使用了問號占位符。還有另一種占位符叫做命名占位符，它的形式為 :name。

$sql = "INSERT INTO users (name, email) VALUES (:name, :email)";
$stmt = $pdo->prepare($sql);
$stmt->execute([
':name' => 'John',
':email' => 'john@example.com'
]);

在這個例子中，我們將一個命名占位符用于一個 INSERT語句中。execute() 方法接受一個關聯數組，數組中的鍵會自動替換到 SQL 語句中對應的占位符中。

SQL占位符有兩個主要的優點。首先，它可以在執行 SQL 語句之前驗證輸入數據，從而保證數據的有效性和安全性。其次，占位符可以幫助我們減少代碼中的字符串拼接，避免了注入攻擊，提高了程序的穩定性，減少了調試的難度。

總之，使用SQL占位符是一種非常有用的PHP編程技巧。它可以讓我們更加安全和可靠地在PHP代碼中執行SQL語句，防止SQL注入攻擊。在使用 PHP與數據庫交互時，確保你使用了占位符替換輸入數據，從而保證程序的安全性。