PHP数据库安全核心是防SQL注入、防信息泄露、凭据安全及用PDO/MySQLi替代废弃函数;必须用预处理语句分离SQL与数据,禁用mysql_*,遵循最小权限、环境变量存密、错误不暴露等原则。
PHP 中数据库访问安全的核心是防止 SQL 注入、避免敏感信息泄露、合理管理数据库凭据,并使用现代、受支持的扩展。关键不在于“写得快”,而在于“写得稳”。
用 PDO 或 MySQLi 代替已废弃的 mysql_* 函数
PHP 7.0 已完全移除 mysql_* 系列函数,它们不仅不安全,也不支持预处理语句。必须改用 PDO(推荐,支持多种数据库)或 MySQLi(仅 MySQL/MariaDB)。
- PDO 支持统一接口和命名参数,例如:
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = :id"); $stmt->execute(['id' => $user_id]); - MySQLi 同样支持预处理:
$stmt = $mysqli->prepare("SELECT name FROM posts WHERE status = ?"); $stmt->bind_param("s", $status); $stmt->execute(); - 切勿拼接用户输入到 SQL 字符串中,如
"WHERE name = '" . $_GET['name'] . "'"—— 这是 SQL 注入的典型入口。
始终使用预处理语句(Prepared Statements)
预处理语句将 SQL 结构与数据分离,数据库引擎能明确区分“代码”和“数据”,从根本上阻断大多数 SQL 注入。
- 即使字段名、表名来自变量,也不能用预处理绑定(因语法结构不允许),此时需白名单校验或手动转义(如用
PDO::quote()或正则匹配允许字符集)。 - 数值型参数仍需类型校验,例如用
filter_var($id, FILTER_VALIDATE_INT)确保是整数,再传入预处理语句。 - 注意:PDO 默认启用模拟预处理(
PDO::ATTR_EMULATE_PREPARES = true),在旧版 MySQL 下可能绕过服务端预处理,建议设为false并确认 MySQL 版本支持。
最小权限原则配置数据库账户
应用连接数据库所用账号,只应拥有完成任务所必需的最小权限,而非 root 或 DBA 权限。
立即学习“PHP免费学习笔记(深入)”;
- 读操作为主的模块(如列表页)用只读账号:
GRANT SELECT ON myapp.users TO 'myapp_ro'@'localhost'; - 写操作分离账号,限制可写表范围,禁用
DROP、CREATE、ALTER等高危权限。 - 避免在代码中硬编码密码;使用环境变量(如
getenv('DB_PASSWORD'))或配置文件(置于 Web 根目录外),并确保配置文件后缀非 .php 时也禁止 Web 直接访问(通过 Web 服务器规则限制)。
错误信息不暴露给用户
数据库连接失败、查询出错等细节(如表名、字段名、MySQL 版本)属于敏感信息,可能被攻击者利用。
- 开发环境可开启详细错误(
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION),但生产环境必须关闭显示:ini_set('display_errors', '0');,并将错误记录到日志(error_log()或专用日志系统)。 - 对用户只返回通用提示,如“操作失败,请稍后重试”,而非 “SQLSTATE[42S02]: Base table or view not found: 1146 Table 'test.users' doesn't exist”。
- 检查所有数据库调用是否包裹异常捕获,避免未处理异常直接输出堆栈。
