哪个PHP函数可以⽤于处理表单数据中的特殊字符，防⽌SQL注入

封面图 • 2025-11-02 • PHP

在 PHP 中，**防止 SQL 注入**最推荐的做法是使用 **预处理语句（Prepared Statements）**，而不是仅仅依赖字符串处理函数。不过，如果你需要对表单数据中的特殊字符进行处理（例如为了显示或存储目的），可以使用以下函数：

---

### ✅ 推荐做法：使用 `PDO` 或 `mysqli` 的预处理语句

```php
// 使用 PDO 示例
$pdo = new PDO("mysql:host=localhost;dbname=test", "username", "password");

$stmt = $pdo->prepare("INSERT INTO users (username, email) VALUES (?, ?)");
$stmt->execute([$username, $email]);
```

这种方式 **能有效防止 SQL 注入**，是最安全的做法。

---

### 🛑 不推荐单独使用以下函数来防 SQL 注入（仅用于转义）

#### 1. `htmlspecialchars()`  
用于防止 XSS 攻击，不是防 SQL 注入的。

```php
echo htmlspecialchars($_POST['username']);
```

#### 2. `mysql_real_escape_string()`  
这是旧版 MySQL 扩展的方法，**已不推荐使用**，因为它是基于连接的，并且容易出错。

```php
$username = mysql_real_escape_string($_POST['username']);
```

#### 3. `mysqli_real_escape_string()`  
这是新版 `mysqli` 扩展中替代 `mysql_real_escape_string()` 的方法，仍然不推荐用于防 SQL 注入，因为如果使用不当（如没有正确使用连接对象），可能无效。

```php
$mysqli = new mysqli("localhost", "user", "pass", "db");
$username = $mysqli->real_escape_string($_POST['username']);
```

> ⚠️ 注意：即使使用了 `mysqli_real_escape_string()`，也不能完全防止 SQL 注入，因为它只是转义字符，不能防止所有攻击方式。

---

### ✅ 正确做法总结：

| 方法 | 是否推荐 | 用途 |
|------|----------|------|
| `PDO::prepare()` / `mysqli::prepare()` | ✅ 推荐 | 防止 SQL 注入 |
| `htmlspecialchars()` | ⚠️ 仅用于输出时防止 XSS | 显示用户输入 |
| `mysql_real_escape_string()` | ❌ 不推荐 | 已废弃 |
| `mysqli_real_escape_string()` | ⚠️ 不推荐 | 转义字符，但不安全 |

---

### 🔒 最佳实践建议：

- **永远不要直接拼接 SQL 查询字符串**
- **始终使用预处理语句**
- **对用户输入做验证和过滤**
- **对输出内容使用 `htmlspecialchars()` 等函数防止 XSS**

---

如果你需要我帮你写一个完整的防 SQL 注入的表单处理例子，我可以提供。