PHP如何防止SQL注入攻击？预处理语句最佳实践-php教程-PHP中文网

PHP如何防止SQL注入攻击？预处理语句最佳实践

絕刀狂花

发布： 2025-08-05 17:30:02

原创

761人浏览过

防止sql注入的核心是使用预处理语句并绑定参数，1. 使用pdo或mysqli进行参数化查询，将用户输入作为数据而非sql代码处理；2. 对所有用户输入进行验证和过滤；3. 采用最小权限原则配置数据库用户；4. 定期更新php和数据库版本；5. 部署web应用防火墙（waf）增强防护；6. 处理like查询时将通配符作为参数绑定；7. 动态表名和列名需通过白名单验证确保安全，从而全面杜绝sql注入风险。

PHP如何防止SQL注入攻击？预处理语句最佳实践

PHP防止SQL注入，核心在于不要直接将用户输入拼接到SQL语句中。预处理语句，配合参数绑定，是目前最有效的手段。

预处理语句最佳实践

SQL注入是Web安全的老生常谈了，但依然是很多网站的噩梦。PHP作为Web开发的常用语言，自然需要一套完善的机制来应对这种威胁。预处理语句就是其中最重要的一环。

立即学习“PHP免费学习笔记（深入）”；

为什么预处理语句如此重要？

想象一下，你正在构建一个查询用户信息的SQL语句。如果直接将用户输入的用户名拼接到SQL里，攻击者就可以构造恶意的输入，比如

' OR '1'='1

登录后复制

，直接绕过你的验证，获取所有用户信息。预处理语句的强大之处在于，它将SQL语句的结构和数据分离开来。你先定义好SQL语句的模板，然后通过参数绑定的方式，将用户输入作为数据传递进去。数据库会把这些数据当成纯粹的字符串，而不是SQL代码的一部分来解析，从而彻底杜绝了SQL注入的可能性。

如何在PHP中使用预处理语句？

PHP提供了两种主要的预处理语句方式：

PDO

登录后复制

和

mysqli

登录后复制

。PDO是PHP Data Objects的缩写，是一个数据库访问抽象层，支持多种数据库系统。mysqli是MySQLi extension的缩写，是专门为MySQL数据库设计的扩展。

使用PDO的例子：

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // 设置 PDO 错误模式为异常
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 预处理 SQL 并绑定参数
    $stmt = $conn->prepare("SELECT id, firstname, lastname FROM MyGuests WHERE firstname=:firstname");
    $stmt->bindParam(':firstname', $firstname);

    // 设置参数并执行
    $firstname = $_POST['firstname']; // 从POST请求获取用户名
    $stmt->execute();

    // 获取结果
    $result = $stmt->fetchAll();
    foreach($result as $row) {
        echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
    }

} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}
$conn = null;
?>

登录后复制

在这个例子中，

$conn->prepare()

登录后复制

方法创建了一个预处理语句。

:firstname

登录后复制

是一个占位符，稍后会被实际的用户名替换。

$stmt->bindParam()

登录后复制

方法将占位符和变量

$firstname

登录后复制

绑定起来。注意，这里我们是从

$_POST

登录后复制

获取用户名的，实际项目中应该进行更严格的输入验证和过滤，防止XSS等其他攻击。

ViiTor实时翻译

AI实时多语言翻译专家！强大的语音识别、AR翻译功能。

116

查看详情

使用mysqli的例子：

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检测连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 预处理 SQL 并绑定参数
$stmt = $conn->prepare("SELECT id, firstname, lastname FROM MyGuests WHERE firstname = ?");
$stmt->bind_param("s", $firstname); // "s" 表示字符串类型

// 设置参数并执行
$firstname = $_POST['firstname'];
$stmt->execute();

// 获取结果
$result = $stmt->get_result();

if ($result->num_rows > 0) {
    // 输出每行数据
    while($row = $result->fetch_assoc()) {
        echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
    }
} else {
    echo "0 结果";
}

$stmt->close();
$conn->close();
?>

登录后复制

mysqli的预处理语句使用

登录后复制

作为占位符，并通过

$stmt->bind_param()

登录后复制

方法绑定参数。

"s"

登录后复制

表示参数类型是字符串。mysqli需要在执行后手动获取结果集。

除了预处理语句，还有哪些防SQL注入的措施？

预处理语句是基础，但并非万能。以下是一些其他的建议：

永远不要信任用户输入： 对所有用户输入进行验证和过滤。
使用最小权限原则： 数据库用户只应该拥有完成其任务所需的最小权限。
定期更新数据库和PHP版本： 及时修复安全漏洞。
使用Web应用防火墙（WAF）： WAF可以帮助你检测和阻止恶意请求。

预处理语句的性能影响？

很多人担心预处理语句会降低性能。实际上，预处理语句通常比直接拼接SQL语句更快，尤其是对于重复执行的查询。因为数据库可以缓存预处理语句的执行计划，避免重复解析SQL语句。

如何处理LIKE语句中的通配符？

在使用LIKE语句时，需要特别注意通配符

登录后复制

和

登录后复制

。如果用户输入包含这些字符，可能会导致SQL注入。可以使用数据库提供的函数来转义这些字符。例如，在MySQL中可以使用

mysqli_real_escape_string()

登录后复制

函数。但是，最好的做法仍然是使用预处理语句，并将通配符作为参数传递。

<?php
$search_term = $_POST['search_term'];
$search_term = '%' . $search_term . '%'; // 添加通配符

$stmt = $conn->prepare("SELECT * FROM products WHERE name LIKE ?");
$stmt->bind_param("s", $search_term);
$stmt->execute();
// ...
?>

登录后复制

如何处理动态表名和列名？

预处理语句不能用于动态表名和列名，因为这些是SQL语句结构的一部分，而不是数据。对于这种情况，你需要进行严格的白名单验证，确保用户输入的表名和列名是允许的。不要直接将用户输入拼接到表名和列名中。

<?php
$allowed_tables = ['users', 'products', 'orders'];
$table_name = $_GET['table'];

if (in_array($table_name, $allowed_tables)) {
    $sql = "SELECT * FROM " . $table_name;
    // ...
} else {
    echo "Invalid table name";
}
?>

登录后复制

总而言之，防止SQL注入是一个持续的过程，需要开发者时刻保持警惕，并采取多方面的安全措施。预处理语句是你的第一道防线，但绝不是唯一的防线。

以上就是PHP如何防止SQL注入攻击？预处理语句最佳实践的详细内容，更多请关注php中文网其它相关文章！