使用预处理语句(如PDO或MySQLi)隔离SQL逻辑与数据,防止恶意输入执行;2. 对用户输入进行严格过滤验证,如filter_var()、intval()等函数处理,确保数据合法性。
防止SQL注入是PHP开发中必须重视的安全问题,尤其在使用一键环境(如phpStudy、XAMPP、WampServer等)时,开发者容易忽略安全配置。虽然这些环境便于快速搭建本地开发服务,但默认设置可能不具备足够的防护能力。以下是一些实用的防护策略,帮助你在PHP项目中有效防范SQL注入攻击。
使用预处理语句(Prepared Statements)
预处理语句是防止SQL注入最有效的方法之一。它将SQL逻辑与数据分离,确保用户输入不会被当作SQL代码执行。
推荐使用PDO或MySQLi扩展:
- PDO支持多种数据库,语法统一,适合需要兼容性的项目
- MySQLi专用于MySQL,性能略优
$pdo = new PDO($dsn, $username, $password);
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$_GET['id']]);
$user = $stmt->fetch();
示例(MySQLi):
立即学习“PHP免费学习笔记(深入)”;
$mysqli = new mysqli("localhost", "user", "pass", "db");
$stmt = $mysqli->prepare("SELECT * FROM users WHERE email = ?");
$stmt->bind_param("s", $email);
$email = $_POST['email'];
$stmt->execute();
对输入进行过滤与验证
- 使用filter_var()函数验证邮箱、URL等格式
- 对数字ID使用intval()或is_numeric()处理
- 限制字符串长度,避免超长输入
例如:
$user_id = intval($_GET['id']);
if ($user_id <= 0) {
die('无效的用户ID');
}
避免拼接SQL字符串
动态拼接SQL是SQL注入的主要源头。即使看起来“安全”的变量,也可能来自不可信来源。
错误做法:
$query = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'"; mysqli_query($conn, $query); // 危险!
正确做法:始终使用预处理语句代替字符串拼接。
最小权限原则与环境配置
在一键环境中,默认数据库账户常为root,权限过高,一旦被攻破影响巨大。
- 为应用创建专用数据库用户,仅授予必要权限(如SELECT、INSERT,避免DROP、GRANT)
- 生产环境关闭PHP错误显示(display_errors=Off),防止泄露敏感信息
- 定期更新一键环境版本,修复已知漏洞
基本上就这些。关键在于养成安全编码习惯,不依赖运行环境的“默认安全”。只要坚持使用预处理语句、验证输入、限制权限,就能大幅降低SQL注入风险。
