SQL参数化查询的核心是分离SQL结构与数据,通过驱动安全绑定参数防止注入;表名、字段名等动态标识符不可参数化,所有用户输入值须经统一绑定,不可拼接进SQL字符串。
SQL参数化查询的核心是把SQL语句结构和数据内容分开处理,避免拼接字符串,从根本上防止SQL注入。关键不在“怎么写”,而在“为什么必须这样写”。
参数化查询不是加个问号就完事
占位符(如?、:name、@id)只是标记位置,真正起作用的是数据库驱动在执行前将参数值按类型安全绑定,不参与SQL语法解析。直接拼接用户输入的字符串——哪怕做过滤或转义——仍可能绕过防护。
- MySQLi用bind_param()明确指定每个参数类型(s字符串、i整数、d浮点)
- PDO默认使用PDO::ATTR_EMULATE_PREPARES = false,确保交给数据库原生预处理,而非PHP模拟
- SQL Server用sp_executesql配合@param声明,不能只用EXEC
常见错误:看似参数化,实则失效
以下写法看着像参数化,但实际仍存在注入风险:
- 表名、字段名、排序方向(ASC/DESC)用参数占位符——不行,这些属于SQL结构,预处理不支持动态标识符
- WHERE条件数量不确定时,用循环拼接AND field = ?再绑定——危险,应提前确定条件逻辑,用IN (?, ?, ?)配合数组绑定
- 把参数值先拼进SQL字符串,再传给prepare()——等于没做,例如$sql = "SELECT * FROM user WHERE id = $id"; $pdo->prepare($sql)
正确写法示例(以PDO为例)
一个带可选条件的用户查询,安全且清晰:
$sql = "SELECT * FROM users WHERE 1=1"; $params = [];if (!empty($name)) { $sql .= " AND name LIKE ?"; $params[] = "%{$name}%"; } if (is_numeric($status)) { $sql .= " AND status = ?"; $params[] = $status; }
$stmt = $pdo->prepare($sql); $stmt->execute($params); $result = $stmt->fetchAll();
注意:所有用户可控值都进$params数组,由execute()统一绑定;SQL骨架始终固定,无字符串拼接。
预处理语句的额外好处不止防注入
数据库对相同结构的SQL可复用执行计划,提升性能;尤其适合高频执行的查询或批量操作。但要注意:连接级预处理(如MySQL的PREPARE语句)需手动释放;而PDO/MySQLi的prepare-execute模式由驱动自动管理生命周期。
基本上就这些。参数化查询不复杂,但容易忽略细节。守住“结构与数据分离”这一条线,就能避开绝大多数SQL注入问题。
