PHP防注入安全代码，如何高效防止SQL注入攻击？ | PHP安全防护最佳实践

在PHP中,防止SQL注入攻击的核心原则是永远不要信任用户输入，必须对所有输入数据进行过滤和转义，以下是几种有效的防注入方法及代码示例：

✅ 最佳方案：使用预处理语句（Prepared Statements）

PDO (推荐，支持多种数据库)

<?php
// 连接数据库
$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'user', 'pass');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 用户输入（示例）
$username = $_POST['username'];
$email = $_POST['email'];
try {
    // 准备SQL模板
    $stmt = $pdo->prepare("INSERT INTO users (username, email) VALUES (:username, :email)");
    // 绑定参数（自动转义）
    $stmt->bindParam(':username', $username, PDO::PARAM_STR);
    $stmt->bindParam(':email', $email, PDO::PARAM_STR);
    // 执行
    $stmt->execute();
    echo "数据安全写入！";
} catch (PDOException $e) {
    die("错误: " . $e->getMessage());
}

MySQLi (面向对象风格)

<?php
$mysqli = new mysqli("localhost", "user", "pass", "test");
// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}
// 用户输入
$username = $_POST['username'];
$email = $_POST['email'];
// 准备并绑定
$stmt = $mysqli->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $email); // "ss" 表示两个字符串类型
// 执行
if ($stmt->execute()) {
    echo "数据安全写入！";
} else {
    echo "错误: " . $stmt->error;
}
$stmt->close();
$mysqli->close();

⚠️ 备选方案：过滤转义输入（不推荐，仅作应急）

仅当无法使用预处理语句时考虑,需结合其他防护措施

<?php
// 使用 mysqli_real_escape_string（需先连接数据库）
$username = mysqli_real_escape_string($conn, $_POST['username']);
$email = mysqli_real_escape_string($conn, $_POST['email']);

// 过滤特殊字符（额外防护）
$username = htmlspecialchars($username, ENT_QUOTES, ‘UTF-8’);

$sql = “INSERT INTO users (username, email) VALUES (‘$username’, ‘$email’)”;
// 注意：仍有风险！不推荐直接拼接SQL

---
### 🔒 关键安全实践：
1. **强制使用参数化查询**：
   - 永远用 `prepare` + `bindParam`/`bind_param`
   - 禁止直接拼接SQL语句（如 `"SELECT * FROM users WHERE id = $_GET[id]"`）
2. **输入验证**：
   ```php
   // 验证邮箱格式
   if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
       die("无效邮箱格式");
   }
   // 验证整数ID
   $id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);
   if ($id === false) {
       die("ID必须是整数");
   }

3. 最小权限原则：

   数据库用户只赋予必要权限（禁用DROP、FILE等）

4. 错误处理：

   

   • 生产环境关闭错误回显：display_errors = Off
   • 记录日志：log_errors = On

5. 防XSS跨站攻击：

   // 输出到HTML时转义
   echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

🚫 危险做法（务必避免）：

// ❌ 直接拼接输入（高危！）
$sql = "SELECT * FROM users WHERE name='$_GET[name]'";
// ❌ 过时函数（不安全）
$sql = "SELECT * FROM users WHERE id=" . mysql_real_escape_string($_GET['id']);
// ❌ 宽字节注入（GBK等编码）
$conn->set_charset("utf8"); // 必须设置正确编码

📚 完整安全示例（PDO + 输入验证）：

<?php
// 1. 连接数据库
try {
    $pdo = new PDO('mysql:host=localhost;dbname=mydb;charset=utf8', 'user', 'pass', [
        PDO::ATTR_EMULATE_PREPARES => false, // 禁用模拟预处理
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
    ]);
} catch (PDOException $e) {
    die("数据库连接失败: " . $e->getMessage());
}
// 2. 验证输入
$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);
if ($id === null || $id === false) {
    die("非法ID参数");
}
// 3. 使用预处理查询
try {
    $stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");
    $stmt->bindValue(':id', $id, PDO::PARAM_INT);
    $stmt->execute();
    $result = $stmt->fetchAll(PDO::FETCH_ASSOC);
    // 4. 安全输出
    foreach ($result as $row) {
        echo htmlspecialchars($row['name'], ENT_QUOTES, 'UTF-8');
    }
} catch (PDOException $e) {
    error_log("SQL错误: " . $e->getMessage());
    die("操作失败，请重试");
}

终极建议：始终使用PDO或MySQLi的预处理语句，结合输入验证和输出转义，可抵御99%的注入攻击。