在PHP中，使用mysqli_prepare函数可以有效地预处理SQL语句，这有助于防止SQL注入攻击，并提高代码的可读性和可维护性。下面我将详细讲解如何使用mysqli_prepare以及它的工作原理。

1. 连接到MySQL数据库

首先，你需要使用mysqli扩展连接到MySQL数据库。这通常是通过创建一个mysqli对象完成的。

$mysqli = new mysqli("localhost", "username", "password", "database");
 
// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

2. 使用mysqli_prepare预处理SQL语句

mysqli_prepare函数用于准备一个SQL语句，使其可以被执行多次而不需要重新编译。这对于执行包含变量的SQL语句特别有用。

语法：

$stmt = mysqli_prepare($connection, $query);

• $connection 是通过mysqli对象创建的数据库连接。

• $query 是包含一个或多个参数的SQL语句。这些参数用问号(?)表示。

示例：

假设你想插入一条记录到users表中，其中包含用户名和电子邮件地址。

$username = "exampleUser";
$email = "user@example.com";
 
$query = "INSERT INTO users (username, email) VALUES (?, ?)";
$stmt = mysqli_prepare($mysqli, $query);

3. 绑定参数到预处理语句

在预处理语句准备好后，你需要使用mysqli_stmt_bind_param函数来绑定PHP变量到SQL语句中的参数位置。

mysqli_stmt_bind_param($stmt, "ss", $username, $email);

第一个参数是绑定类型字符串，它指定了后面参数的数据类型。在这个例子中，"ss"表示两个字符串类型的参数。可能的类型包括：i（整数），d（双精度浮点数），s（字符串），等等。

后续参数是要绑定的变量。

4. 执行预处理语句

绑定参数后，你可以使用mysqli_stmt_execute来执行预处理语句。

mysqli_stmt_execute($stmt);

5. 处理结果（如果需要）

如果查询是SELECT类型的，你可以使用mysqli_stmt_get_result来获取结果集，并进一步处理。

$result = mysqli_stmt_get_result($stmt);
while ($row = mysqli_fetch_assoc($result)) {
    echo $row['username'] . "\n";
}

6. 关闭语句和连接

最后，不要忘记关闭预处理语句和数据库连接。

mysqli_stmt_close($stmt);
$mysqli->close();

完整示例：

$mysqli = new mysqli("localhost", "username", "password", "database");
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}
 
$username = "exampleUser";
$email = "user@example.com";
$query = "INSERT INTO users (username, email) VALUES (?, ?)";
$stmt = mysqli_prepare($mysqli, $query);
if ($stmt) {
    mysqli_stmt_bind_param($stmt, "ss", $username, $email);
    mysqli_stmt_execute($stmt);
    echo "新记录插入成功";
} else {
    echo "预处理语句创建失败";
}
mysqli_stmt_close($stmt);
$mysqli->close();

通过以上步骤，你可以安全且高效地使用PHP的mysqli_prepare函数来预处理SQL语句。