在 PHP 开发中，常用的数据库连接方式是使用 MySQLi 扩展库，它能够提供更好的性能和功能。而其中，使用 prepare 语句预处理，不仅可以提高程序的执行效率，还能减少 SQL 注入攻击的可能性。使用 mysqli prepare 模式，在执行 SQL 语句之前，我们可以先指定一个绑定参数，然后再通过 bind_param 函数将这些参数与 SQL 语句中的占位符进行绑定，最后将整个 SQL 语句作为一个整体进行执行，这样就可以实现执行多次 SQL 语句的效果。例如，在查询用户表中的数据时，我们可以这样写 SQL 语句：

$sql = "SELECT * FROM user WHERE username = ? AND password = ?";$stmt = $mysqli->prepare($sql);$stmt->bind_param('ss', $username, $password);$stmt->execute();$result = $stmt->get_result();

其中，$stmt 对象是 mysqli_stmt 类型的，通过 bind_param 函数我们将 SQL 语句中的两个占位符与我们传入的变量 $username 和 $password 进行绑定，这样就可以避免 SQL 注入问题。执行 get_result 函数获取查询结果集。除了查询语句外，使用 prepare 还可以方便地执行添加、删除和修改等 SQL 语句。例如，下面是一个添加用户数据的示例：

$sql = "INSERT INTO user (username, password, email) VALUES (?, ?, ?)";$stmt = $mysqli->prepare($sql);$stmt->bind_param('sss', $username, $password, $email);$stmt->execute();

在这个例子中，我们使用 prepare 形式的 SQL 语句来插入一条新的用户数据，同样使用 bind_param 函数将 SQL 语句中的三个占位符分别与变量 $username、$password 和 $email 进行绑定，最后执行 execute 函数即可。使用 MySQLi 进行数据库访问时，我们还需要掌握一些其他的知识点，例如 SQL 查询的结果集类型、错误处理、事务控制和数据类型转换等，但是采用 prepare 方式进行预处理后，操作数据库会变得更加安全、高效和方便。