使用预处理语句可有效防止 sql 注入,1. 用 pdo 或mysql i 创建预处理查询,绑定用户输入参数;2. 对输入数据进行过滤验证,限制格式与类型;3. 转义特殊字符并遵循最小权限原则,降低攻击风险。
如果您在开发 php 应用程序时直接将用户输入拼接到 SQL 查询中,数据库 可能会执行恶意语句,导致数据泄露或被篡改。以下是防止 sql 注入 攻击的有效措施:
本文运行环境:联想 小新 Pro 16,windows 11
一、使用预处理语句(Prepared Statements)
预处理语句通过将 SQL 逻辑与数据分离,确保用户输入不会被当作 SQL 代码执行,从根本上防止注入风险。
1、使用 PDO 扩展创建预处理查询,将用户输入作为参数绑定。
立即学习“PHP 免费学习笔记(深入)”;
2、编写包含占位符的 SQL 语句,例如:select * FROM users WHERE id = ?。
3、调用 prepare() 方法准备语句,再通过 execute() 传入 参数数组 执行。
4、对于命名占位符,使用类似 :username 的形式,并在执行时提供对应键值对。
二、使用 mysqli 的预处理功能
MySQLi 也支持预处理机制,适用于面向 对象 或过程式编程风格,能有效隔离 SQL 指令与数据内容。
1、建立 MySQLi 连接后,调用 prepare() 方法初始化预处理操作。
2、传入含有问号占位符的 SQL 语句,如:INSERT INTO logs (ip, time) VALUES (?, ?)。
3、使用 bind_param() 方法绑定 变量类型 和值,例如 ’ss’ 表示两个 字符串 参数。
4、执行 execute() 完成操作,并检查返回结果是否成功。
三、对输入数据进行过滤与验证
在接收用户输入时即进行类型判断和格式限制,可减少恶意数据进入查询流程的可能性。
1、使用 filter_var() 函数对 邮箱、IP 地址等字段进行标准化过滤。
2、针对数字型字段,采用 is_numeric() 或intval()强制转换 数据类型。
3、设置白名单规则,仅允许符合特定模式的输入通过,例如用户名仅支持字母数字组合。
4、拒绝包含典型 SQL 关键字的请求,如 union、SELECT、DROP 等出现在非预期位置的情况。
四、转义特殊字符
当无法使用预处理语句时,应对所有用户输入中的特殊字符进行转义处理,防止其改变原有 SQL 结构。
1、在 PDO 中启用模拟预处理模式时,使用 quote() 方法包裹用户数据。
2、在 MySQLi 中调用 real_escape_string() 函数处理单引号、反斜杠等危险字符。
3、特别注意jsON、搜索关键词等自由文本字段,必须经过严格转义后再拼接。
4、避免手动拼接 SQL 字符串,即使已转义也应优先考虑改用预处理方式。
五、最小权限原则配置数据库账户
限制数据库用户的操作权限,即使发生注入,也能降低攻击者可执行的操作范围。
1、为应用程序分配专用数据库账号,禁止使用 root 或其他高权限账户连接。
2、仅授予该账号必要的数据操作权限,例如只允许执行 SELECT、INSERT,禁用delete 或ALTER。
3、限制登录主机来源,设置数据库服务仅接受来自应用服务器的连接请求。
4、定期审查权限设置,移除不再需要的表或库级访问权限。
