使用预处理语句、输入验证、禁用旧函数和最小权限原则可有效防止SQL注入。通过PDO或MySQLi预处理分离SQL逻辑与数据,结合filter_var校验输入,避免mysql_query等废弃函数,并限制数据库账户权限,能系统性提升PHP应用安全,防范恶意SQL执行风险。
防止SQL注入是PHP开发中保障数据安全的核心环节。攻击者通过在输入中插入恶意SQL代码,可能窃取、篡改甚至删除数据库内容。要有效防护,关键在于杜绝拼接用户输入与SQL语句,并采用系统化的安全策略。
使用预处理语句(Prepared Statements)
预处理语句是防御SQL注入最有效的方法。它将SQL逻辑与数据分离,确保用户输入不会被当作SQL命令执行。
- 使用PDO或MySQLi扩展支持的预处理功能
- 参数占位符(如 :id 或 ?)代替直接拼接变量
- 数据库引擎预先编译SQL结构,仅将绑定值作为纯数据处理
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id");
$stmt->bindParam(':id', $userId, PDO::PARAM_INT);
$stmt->execute();对输入进行过滤与验证
所有外部输入都应视为不可信,必须经过严格校验。
- 使用 filter_var() 函数验证邮箱、URL、整数等格式
- 设定允许的输入范围(如长度、字符类型)
- 拒绝包含SQL关键字(如 SELECT、UNION、DROP)的非法请求
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
die("邮箱格式不合法");
}避免使用已废弃的数据库函数
老式函数如 mysql_query() 不支持预处理,极易引发注入风险。
立即学习“PHP免费学习笔记(深入)”;
- 禁用 ext/mysql 扩展(自PHP 5.5起已弃用)
- 统一使用PDO或MySQLi替代
- 确保生产环境无裸SQL拼接逻辑
最小权限原则与错误信息控制
即使发生注入尝试,也应限制其影响范围。
- 数据库账户仅授予必要权限(如禁用 DROP、SHUTDOWN 等操作)
- 关闭详细错误显示(display_errors = Off),防止泄露表结构
- 记录错误日志用于排查,但不对用户输出敏感信息
基本上就这些。只要坚持使用预处理语句、验证输入、淘汰老旧函数并合理配置权限,就能大幅降低SQL注入风险。安全不是一次性任务,而是贯穿开发全过程的习惯。
