唯一可靠方式是预处理语句配合参数绑定;因mysqli_real_escape_string无法覆盖数字字段、字段名等上下文,且易遗漏拼接点,而参数化可实现语法与数据彻底分离。
PHP 新增数据时防 SQL 注入,唯一可靠的方式是使用预处理语句(Prepared Statement)配合参数绑定,而不是拼接字符串或过滤函数。
为什么 mysqli_real_escape_string 不够用
它只对单引号、反斜杠等做转义,无法覆盖所有上下文(比如数字型字段不加引号、ORDER BY 后字段名、表名等),且一旦漏掉某处拼接就前功尽弃。真正的防护必须靠数据库层的参数分离机制。
常见错误现象:
- 用户输入 ' OR 1=1 -- 导致插入异常数据或绕过条件
- 中文、emoji 或特殊字符插入失败,报错 Incorrect string value(其实是编码没统一,但常被误认为是注入问题)
- 仅在
INSERT、UPDATE、SELECT等语句中使用参数绑定才有效 - 表名、字段名、排序方向(
ASC/DESC)不能参数化,需白名单校验 - 确保 MySQL 连接字符集设为
utf8mb4,否则绑定 emoji 会失败
PDO::prepare + bindValue 最简安全写法
这是最推荐的组合:类型明确、自动转义、支持命名参数,兼容性好(PHP 5.1+)。
关键点:
- bindValue 第三个参数指定类型(如 PDO::PARAM_STR、PDO::PARAM_INT),比 bindParam 更安全(不依赖变量生命周期)
- 占位符用命名式(:name)比问号(?)更易维护,尤其字段多时
$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', $user, $pass);
$stmt = $pdo->prepare('INSERT INTO users (username, email, age) VALUES (:username, :email, :age)');
$stmt->bindValue(':username', $_POST['username'], PDO::PARAM_STR);
$stmt->bindValue(':email', $_POST['email'], PDO::PARAM_STR);
$stmt->bindValue(':age', (int)$_POST['age'], PDO::PARAM_INT);
$stmt->execute();
mysqli_prepare 绑定参数的坑与写法
原生 mysqli 要求严格按顺序绑定,且类型码必须匹配(i、s、d、b),容易出错。
立即学习“PHP免费学习笔记(深入)”;
容易踩的坑:
- 忘记在 bind_param 前加 & 引用变量(PHP 7+ 仍需引用)
- 类型码写错:比如把邮箱当 i(整数)传,会导致空值或截断
- mysqli_stmt::execute() 返回 true 不代表插入成功,要检查 affected_rows
$mysqli = new mysqli('localhost', $user, $pass, 'test');
$mysqli->set_charset('utf8mb4');
$stmt = $mysqli->prepare('INSERT INTO users (username, email, age) VALUES (?, ?, ?)');
$username = $_POST['username'];
$email = $_POST['email'];
$age = (int)$_POST['age'];
$stmt->bind_param('ssi', $username, $email, $age);
$stmt->execute();
if ($stmt->affected_rows === 0) {
// 插入失败,可能是唯一键冲突或字段超长
}批量插入和 NULL 值怎么安全处理
批量插入不能简单循环 prepare,应复用同一预处理对象;NULL 值必须显式绑定,不能传 null 字面量(PDO 会转成空字符串)。
- 批量插入时,每次
execute()前只需重新绑定新值,不用重复prepare - 插入 NULL:用
PDO::PARAM_NULL或传 PHPnull并确保类型为PDO::PARAM_STR(PDO 自动识别) - 避免用
INSERT ... ON DUPLICATE KEY UPDATE时把用户输入直接拼进UPDATE子句——这部分也必须参数化
最易被忽略的一点:预处理只防注入,不防业务逻辑漏洞。比如用户能提交 status='admin' 到注册接口,即使用了 prepare,照样可能提权——参数绑定解决的是「语法注入」,不是「语义越权」。
