防止SQL注入应优先使用PDO或MySQLi预处理语句实现SQL与参数分离,辅以输入类型校验和严格过滤。
如果在PHP中直接将用户输入拼接到SQL查询字符串中,攻击者可能通过构造恶意输入来执行非授权的数据库操作。以下是防止SQL注入的多种方法:
一、使用PDO预处理语句
PDO预处理语句将SQL模板与参数分离,数据库驱动自动对参数进行转义和类型绑定,从根本上避免SQL注入。
1、创建PDO连接实例,并设置错误模式为异常模式:PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION。
2、编写含命名占位符的SQL语句,例如:SELECT * FROM users WHERE username = :username AND status = :status。
立即学习“PHP免费学习笔记(深入)”;
3、调用prepare()方法获取PDOStatement对象。
4、使用bindValue()或bindParam()绑定变量值,例如:$stmt->bindValue(':username', $_POST['user'], PDO::PARAM_STR)。
5、执行查询并获取结果:$stmt->execute(),随后调用fetch()或fetchAll()。
二、使用MySQLi面向对象预处理语句
MySQLi预处理语句同样实现SQL逻辑与数据分离,参数经由底层驱动安全绑定,不参与SQL语法解析过程。
1、初始化MySQLi连接对象,确认启用了预处理支持:mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT)。
2、编写含问号占位符的SQL语句,例如:INSERT INTO logs (ip, action) VALUES (?, ?)。
3、调用prepare()方法生成MySQLi_STMT对象。
4、使用bind_param()绑定参数,第一个参数指定类型字符串(如'ss'表示两个字符串),后续为对应变量引用。
5、调用execute()执行语句,成功后可读取affected_rows或insert_id等属性。
三、严格过滤与类型校验输入参数
在预处理之外,对用户输入进行前置校验可形成纵深防御,降低因误用未预处理语句导致的风险。
1、对整型参数强制转换并验证范围:intval($_GET['id']) > 0 && intval($_GET['id']) 。
2、对字符串参数使用filter_var()配合FILTER_SANITIZE_STRING(PHP 8.1已弃用)或更安全的FILTER_SANITIZE_SPECIAL_CHARS。
3、对邮箱、URL等特定格式字段启用对应过滤器:filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)。
4、限制输入长度并剔除控制字符:mb_substr(trim($_POST['name']), 0, 50, 'UTF-8')。
四、禁用危险函数并关闭全局转义
依赖过时的魔术引号(magic_quotes_gpc)或手动调用mysql_real_escape_string()等函数会引入逻辑漏洞和兼容性问题,必须主动规避。
1、确认PHP配置中magic_quotes_gpc为Off,并在代码开头检查并清除其影响:if (get_magic_quotes_gpc()) { $_POST = array_map('stripslashes', $_POST); }。
2、彻底移除对已废弃的mysql_*()系列函数的调用,这些函数既不支持预处理,也不具备现代转义能力。
3、禁止在SQL拼接中使用addslashes()或htmlspecialchars()替代预处理,二者作用层级不同且无法覆盖所有注入场景。
4、在数据库连接建立后立即执行SET SQL_MODE = 'STRICT_TRANS_TABLES',增强对非法数据的拒绝能力。
