防止SQL注入需使用预处理语句,如PDO的prepare()方法分离SQL结构与数据,结合输入验证(filter_var、intval)和最小权限原则,避免拼接SQL字符串,确保用户输入不被当作代码执行。
防止SQL注入是PHP开发中必须重视的安全问题。SQL注入攻击通过在输入参数中插入恶意SQL代码,绕过程序逻辑,获取、篡改甚至删除数据库中的数据。要有效防御这类攻击,需从编码习惯和安全机制两方面入手。
使用预处理语句(Prepared Statements)
预处理语句是目前防止SQL注入最有效的方法。它将SQL语句的结构与数据分离,确保用户输入不会被当作SQL代码执行。
以PDO为例:
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$username]);
$user = $stmt->fetch();
使用命名占位符也更清晰:
立即学习“PHP免费学习笔记(深入)”;
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");
$stmt->execute([':username' => $username]);
原理:预处理语句在数据库端先编译SQL模板,再绑定用户数据,数据仅作为值传入,不会改变原有SQL结构。
对输入进行过滤与验证
虽然不能完全依赖输入过滤来防止SQL注入,但结合类型检查和白名单验证能提升安全性。
- 使用 filter_var() 验证邮箱、URL等格式
- 对数字ID使用 is_numeric() 或 intval() 强制转为整数
- 限制字符串长度,避免超长恶意输入
例如:
$userId = intval($_GET['id']); // 确保是数字后再用于查询
避免拼接SQL字符串
直接拼接用户输入到SQL语句中是导致注入的主因。例如以下写法非常危险:
// 危险!不要这样做 $sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
即使使用 mysqli_real_escape_string() 转义,也不能完全保证安全,尤其在字符编码不一致时可能被绕过。因此,应始终优先使用预处理语句,而非手动转义。
最小权限原则与错误信息控制
从系统层面降低攻击影响:
- 数据库连接使用权限最小的账号,避免使用root或db_owner
- 关闭PHP的错误显示(display_errors=Off),防止泄露SQL结构
- 记录错误日志供开发者查看,但不对用户暴露细节
基本上就这些。核心是永远不要信任用户输入,坚持使用预处理语句,配合输入验证和权限控制,就能有效抵御绝大多数SQL注入攻击。
