在使用 PHP 的 MySQLi 函數時，安全性是非常重要的。以下是一些建議，可以幫助您確保代碼的安全性：

1. 使用預處理語句（Prepared Statements）和參數綁定（Parameter Binding）：這是防止 SQL 注入攻擊的最有效方法。預處理語句將 SQL 查詢與數據分開，確保用戶輸入不會被解釋為 SQL 代碼。

$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $password);
$username = "user";
$password = "password";
$stmt->execute();

2. 驗證和清理用戶輸入：在將用戶輸入插入到 SQL 查詢之前，始終驗證和清理輸入。例如，可以使用 filter_var() 函數來確保輸入符合預期的格式。

$username = filter_var($username, FILTER_SANITIZE_STRING);
$password = filter_var($password, FILTER_SANITIZE_STRING);

3. 使用最小權限原則：為您的數據庫連接分配盡可能低的權限，以限制潛在的安全風險。例如，如果您的腳本只需要從數據庫中讀取數據，不要授予它寫入權限。

$mysqli = new mysqli("localhost", "username", "password", "database");
$mysqli->set_charset("utf8mb4");

4. 關閉自動提交：在插入數據之前，關閉自動提交功能。這將確保您的插入操作不會立即生效，從而提高安全性。

$mysqli->autocommit(false);

5. 檢查錯誤：當執行 SQL 查詢時，始終檢查 mysqli 對象的錯誤。這可以幫助您發現潛在的安全問題和其他錯誤。

if ($stmt->execute()) {
    // 成功執行
} else {
    echo "Error: " . $stmt->error;
}

6. 使用安全的密碼存儲：不要將明文密碼存儲在數據庫中。使用 PHP 的 password_hash() 和 password_verify() 函數來安全地存儲和驗證密碼。

$password = "password";
$hashed_password = password_hash($password, PASSWORD_DEFAULT);

// 驗證密碼
if (password_verify($password, $hashed_password)) {
    // 密碼匹配
}

7. 更新和維護軟件：定期更新 PHP、MySQL 和其他相關軟件，以確保您使用的是最新的安全補丁和功能。

遵循這些建議，可以顯著提高使用 PHP MySQLi 函數的應用程序的安全性。