php实现防止sql注入

封面图 • 2026-01-03 • PHP

在 PHP 中防止 SQL 注入是保护数据库安全的重要措施。SQL 注入是一种攻击手段，攻击者通过构造恶意 SQL 语句来操纵数据库，可能导致数据泄露、篡改或删除。

以下是几种 **PHP 实现防止 SQL 注入** 的方法：

---

## ✅ 1. 使用 **PDO 预处理语句（Prepared Statements）**

这是最推荐的方法，它通过参数化查询来防止 SQL 注入。

### 示例代码：
```php
<?php
$host = 'localhost';
$db = 'your_database';
$user = 'username';
$pass = 'password';

try {
    $pdo = new PDO("mysql:host=$host;dbname=$db;charset=utf8", $user, $pass);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// 用户输入
    $username = $_POST['username'];
    $password = $_POST['password'];

// 预处理语句
    $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
    
    // 绑定参数
    $stmt->bindParam(':username', $username);
    $stmt->bindParam(':password', $password);

// 执行
    $stmt->execute();

// 获取结果
    $user = $stmt->fetch();
    if ($user) {
        echo "登录成功！";
    } else {
        echo "用户名或密码错误。";
    }
} catch (PDOException $e) {
    echo "数据库连接失败: " . $e->getMessage();
}
?>
```

---

## ✅ 2. 使用 **MySQLi 预处理语句**

如果你使用的是 MySQLi 扩展，也可以使用预处理语句。

### 示例代码：
```php
<?php
$host = 'localhost';
$db = 'your_database';
$user = 'username';
$pass = 'password';

// 创建连接
$conn = new mysqli($host, $user, $pass, $db);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 用户输入
$username = $_POST['username'];
$password = $_POST['password'];

// 预处理和绑定
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password); // "ss" 表示两个字符串

// 执行
$stmt->execute();

// 获取结果
$result = $stmt->get_result();
if ($result->num_rows > 0) {
    echo "登录成功！";
} else {
    echo "用户名或密码错误。";
}

$stmt->close();
$conn->close();
?>
```

---

## ❌ 不推荐的方法（容易出错）

### 1. 使用 `mysql_real_escape_string()`（已弃用）
虽然可以转义特殊字符，但不能完全防止 SQL 注入，尤其是在使用拼接 SQL 语句时。

### 2. 直接拼接 SQL 语句
```php
$sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
```
这种方式非常危险，容易被注入。

---

## ✅ 3. 使用 ORM（如 Laravel 的 Eloquent 或 Doctrine）

如果你使用框架，比如 **Laravel**、**Symfony** 或 **Yii**，它们已经内置了防止 SQL 注入的机制。

例如，在 Laravel 中使用 Eloquent：
```php
User::where('username', $username)->where('password', $password)->first();
```

---

## ✅ 4. 输入验证与过滤

除了使用预处理语句外，还应进行输入验证：

- 检查输入是否符合预期格式（如邮箱、手机号等）
- 限制输入长度
- 使用白名单方式过滤输入内容

### 示例：
```php
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    die("无效的邮箱格式");
}
```

---

## ✅ 总结：如何防止 SQL 注入？

| 方法 | 是否推荐 | 说明 |
|------|----------|------|
| 预处理语句（PDO / MySQLi） | ✅ 推荐 | 最安全、最有效 |
| ORM 框架 | ✅ 推荐 | 自动处理 SQL 注入 |
| `mysql_real_escape_string()` | ⚠️ 不推荐 | 容易出错，不建议使用 |
| 直接拼接 SQL | ❌ 不推荐 | 极其危险 |

---

如果你有具体的代码或场景，我可以帮你进一步分析和加固。需要我帮你检查某段代码是否安全吗？

php实现防止sql注入