答案是使用预处理语句、输入验证和最小权限原则。通过预处理语句分离SQL逻辑与数据,防止用户输入被解析为SQL代码;结合filter_var等函数对输入进行类型、格式校验;禁止拼接SQL,限制数据库账户权限,避免高危操作,从而全面防范SQL注入。
防止PHP中的SQL注入攻击,关键在于不信任用户输入并正确处理数据库查询。以下是几种实用且有效的防范措施。
使用预处理语句(Prepared Statements)
预处理语句是目前最推荐的防御方式。它将SQL逻辑与数据分离,确保用户输入不会被当作SQL代码执行。以MySQLi为例:
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();
使用PDO时更简洁:
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->bindParam(':email', $email);
$stmt->execute();
对输入进行过滤和验证
在数据进入系统前,应检查其类型、格式和长度。例如,邮箱必须符合邮箱格式,年龄只能是数字等。- 使用filter_var()验证邮箱:
filter_var($email, FILTER_VALIDATE_EMAIL) - 限制字符串长度,避免超长输入
- 对非必要字段去除特殊字符(如脚本标签)
避免拼接SQL语句
永远不要将用户输入直接拼接到SQL中。以下写法非常危险:// 危险!不要这样做 $sql = "SELECT * FROM users WHERE id = " . $_GET['id']; $mysqli->query($sql);
这种写法极易被构造恶意参数攻击,比如传入 1 OR 1=1 导致数据泄露。
NetShop网店系统
下载
NetShop软件特点介绍: 1、使用ASP.Net(c#)2.0、多层结构开发 2、前台设计不采用任何.NET内置控件读取数据,完全标签化模板处理,加快读取速度3、安全的数据添加删除读取操作,利用存储过程模式彻底防制SQL注入式攻击4、前台架构DIV+CSS兼容IE6,IE7,FF等,有利于搜索引挚收录5、后台内置强大的功能,整合多家网店系统的功能,加以优化。6、支持三种类型的数据库:Acces
立即学习“PHP免费学习笔记(深入)”;
最小权限原则
数据库账户应按需分配权限。Web应用连接数据库的账号不需要DROP、DELETE或CREATE权限时,就不要赋予。- 为PHP应用创建专用数据库用户
- 限制该用户只能访问必要的表
- 禁止使用root或高权限账号连接
基本上就这些。只要坚持使用预处理语句,配合输入验证和权限控制,就能有效杜绝绝大多数SQL注入风险。
