使用PDO或MySQLi预处理语句可有效防止SQL注入,避免拼接SQL字符串,结合输入验证与最小权限原则,确保数据库操作安全。
在PHP开发中,安全地连接MySQL数据库并防止SQL注入是保障应用数据安全的关键环节。很多开发者因使用过时的方法或忽略输入验证,导致系统面临严重风险。以下是一些实用且有效的做法,帮助你在PHP中安全操作MySQL数据。
使用PDO或MySQLi预处理语句
预处理语句(Prepared Statements)是防止SQL注入最有效的方式之一。它将SQL指令与用户输入分离,确保参数不会被当作SQL代码执行。
PDO示例:
try {
$pdo = new PDO("mysql:host=localhost;dbname=mydb", $username, $password);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");
$stmt->execute([$_POST['email']]);
$user = $stmt->fetch();} catch (PDOException $e) {
echo "连接失败: " . $e->getMessage();
}
MySQLi示例(面向对象):
立即学习“PHP免费学习笔记(深入)”;
$mysqli = new mysqli("localhost", "user", "pass", "mydb");
if ($mysqli->connect_error) {
die("连接失败: " . $mysqli->connect_error);
}
$stmt = $mysqli->prepare("SELECT * FROM users WHERE email = ?");
$stmt->bind_param("s", $_POST['email']);
$stmt->execute();
$result = $stmt->get_result();
$user = $result->fetch_assoc();
避免拼接SQL字符串
直接将用户输入拼接到SQL语句中极其危险。例如以下写法容易被注入:
// 危险!不要这样做 $email = $_POST['email']; $sql = "SELECT * FROM users WHERE email = '$email'"; $result = mysqli_query($conn, $sql);
攻击者可以输入 ' OR '1'='1 来绕过验证。始终使用参数化查询替代字符串拼接。
对输入进行过滤和验证
即使使用预处理语句,也应对用户输入做基本校验,提高整体安全性。
- 使用 filter_var() 验证邮箱、URL等格式
- 限制输入长度,避免超长内容引发问题
- 去除不必要的特殊字符,尤其是用于显示的内容
示例:
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL);
if (!$email) {
die("邮箱格式不正确");
}
配置数据库账户权限最小化
为Web应用使用的数据库账号分配最低必要权限。例如,如果只需读取和插入数据,就不要赋予DROP或ALTER权限。这能减少攻击成功后的破坏范围。
推荐做法:
- 创建专用数据库用户,如 webapp_user
- 仅授予所需表的 SELECT、INSERT、UPDATE 权限
- 避免使用root或高权限账户连接数据库
基本上就这些。只要坚持使用预处理语句、不拼接SQL、验证输入,并合理配置权限,就能大幅降低SQL注入风险。安全不是一次性任务,而是贯穿开发过程的习惯。
