防止SQL 注射的核心方法是使用預(yù)處理語(yǔ)句和參數(shù)化查詢(xún)。 1. 使用PDO 預(yù)處理語(yǔ)句，通過(guò)問(wèn)號(hào)或命名參數(shù)綁定用戶輸入，確保輸入不被當(dāng)作SQL 代碼執(zhí)行；2. 使用mysqli 的預(yù)處理和bind_param 方法，明確指定參數(shù)類(lèi)型，防止惡意輸入篡改SQL 結(jié)構(gòu)；3. 避免手動(dòng)轉(zhuǎn)義輸入，如mysqli_real_escape_string，因其容易出錯(cuò)且安全性不足；4. 配合PHP 內(nèi)置過(guò)濾函數(shù)驗(yàn)證輸入，如filter_input 和intval，確保輸入數(shù)據(jù)的合法性。通過(guò)這些方法可有效提升PHP 應(yīng)用的安全性，防止SQL 注射攻擊。

防止SQL 注射（SQL Injection）是PHP 開(kāi)發(fā)中一個(gè)非?；A(chǔ)但關(guān)鍵的安全措施。直接拼接SQL 語(yǔ)句是非常危險(xiǎn)的，攻擊者可以通過(guò)構(gòu)造惡意輸入來(lái)篡改SQL 邏輯，甚至刪除或竊取數(shù)據(jù)。 PHP 提供了多種方式來(lái)防止SQL 注射，下面是一些實(shí)用的方法。

使用預(yù)處理語(yǔ)句（Prepared Statements）

這是最推薦的方式。預(yù)處理語(yǔ)句通過(guò)將SQL 語(yǔ)句和參數(shù)分開(kāi)處理，確保用戶輸入不會(huì)被當(dāng)作SQL 代碼執(zhí)行。

以PDO（PHP Data Objects）為例：

 $pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'password');
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = ? AND password = ?');
$stmt->execute([$username, $password]);
$user = $stmt->fetch();

也可以使用命名參數(shù)，讓代碼更清晰：

 $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password');
$stmt->execute(['username' => $username, 'password' => $password]);

這種方式能有效防止SQL 注射，因?yàn)閰?shù)是後來(lái)綁定的，不會(huì)影響原始SQL 結(jié)構(gòu)。

使用mysqli 的綁定參數(shù)功能

如果你使用的是mysqli 擴(kuò)展，也可以使用它的預(yù)處理功能：

 $mysqli = new mysqli("localhost", "user", "password", "test");
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $email);
$stmt->execute();
$stmt->close();

這裡的"ss"表示兩個(gè)字符串參數(shù)。這種方式同樣能有效防止SQL 注射。

不推薦：手動(dòng)轉(zhuǎn)義輸入

雖然mysqli_real_escape_string()可以對(duì)輸入字符串進(jìn)行轉(zhuǎn)義，但這種方式並不安全，容易出錯(cuò)，也不推薦使用：

 $username = mysqli_real_escape_string($mysqli, $_POST['username']);
$query = "SELECT * FROM users WHERE username = '$username'";

這種寫(xiě)法看起來(lái)簡(jiǎn)單，但容易因?yàn)槠唇舆壿嬪e(cuò)誤而留下漏洞。比如拼接數(shù)字型字段時(shí)忘記加引號(hào)，攻擊者就能注入。

額外建議：驗(yàn)證和過(guò)濾輸入

除了使用預(yù)處理語(yǔ)句外，還可以配合PHP 的過(guò)濾函數(shù)來(lái)驗(yàn)證用戶輸入，例如：

 $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

這樣可以在執(zhí)行SQL 前就過(guò)濾掉不合法的輸入，進(jìn)一步提高安全性。

另外，對(duì)數(shù)字型輸入可以使用intval()或者FILTER_VALIDATE_INT來(lái)確保輸入是整數(shù)：

 $id = intval($_GET['id']);

基本上就這些。防止SQL 注射的核心是不要把用戶輸入當(dāng)作SQL 的一部分，而是使用參數(shù)化查詢(xún)。雖然方法看起來(lái)簡(jiǎn)單，但在實(shí)際開(kāi)發(fā)中容易被忽略。只要養(yǎng)成使用預(yù)處理語(yǔ)句的習(xí)慣，就能大大減少SQL 注射的風(fēng)險(xiǎn)。

以上是PHP功能可防止SQL注入的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！