PHP中的mysqli类是否可以100%防止sql注入？

在PHP中，mysqli类本身并不能100%防止SQL注入。要防止SQL注入，需要采用预处理语句（prepared statements）和参数化查询。

预处理语句是一种将SQL语句的结构与数据分开处理的方法，可以避免SQL注入攻击。在使用mysqli类时，可以使用prepare()方法创建预处理语句，并使用bind_param()方法将参数绑定到预处理语句中。这样，参数会被自动转义，从而避免SQL注入攻击。

例如：

$conn = new mysqli($servername, $username, $password, $dbname);
$stmt = $conn->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $password);
$username = "alice";
$password = "password123";
$stmt->execute();

在这个例子中，prepare()方法创建了一个预处理语句，其中?表示参数占位符。bind_param()方法将参数$username和$password绑定到预处理语句中，并指定了它们的数据类型（s表示字符串）。这样，在执行execute()方法时，参数会被自动转义，从而避免SQL注入攻击。

总之，虽然mysqli类本身不能100%防止SQL注入，但通过使用预处理语句和参数化查询，可以有效地防止SQL注入攻击。