は、私は、ログインページ（<code>login.php</code>）を持っており、以下、私は<code>mysqli_prepare</code>を使用してユーザーを認証するために使用しようとしていますコードでPHP

Question

ログインページでSQLインジェクション

の防止しますMYSQL接続作る：mysqli_prepareを使用することにより

function connect_database() 
{ 
    $con = mysqli_connect("servername", "username", "", "dbname"); 
    if (!$con) 
    { 
     $con = ""; 
     echo("Database connection failed: " . mysqli_connect_error()); 
    } 
    return $con; 
} 

を、私は次の警告やエラーメッセージを取得しています：

Warning: mysqli_prepare() expects exactly 2 parameters, 1 given 

Fatal error: Call to a member function bindParam() on null 

私は2日前に同様の質問をしましたが、完全な解決策はありませんでした。 （Prevent SQL Injection to Login Page in PHP and MySQL）。

問題の解決にお手伝いをしてください。 DBをSQLインジェクションから防ぐための最良の方法ですか？

Answer 1

とこれも

$query->bind_Param("ss", $unsafe_username, $unsafe_password); 
      ^^^ 

Answer 2

あなたは準備機能で$con変数を追加し、変数接続$con

$query=mysqli_prepare($con,"select user_id from users where user_name= ? and 
password= ? ");  

を逃す

$query=mysqli_prepare($con,"SELECT user_id FROM users WHERE user_name= ? AND password= ? ");

Answer 3

手続きSTYを変更する必要がありますleのmysqli_prepareは、最初のパラメータが接続変数で、2番目が文字列（クエリ）であると想定しています。

変更

mysqli_prepare("select user_id from users where user_name= ? and password= ? "); 

mysqli_prepare($conn, "select user_id from users where user_name= ? and password= ? "); 

へdocumentation hereをお読みください。