PHP防SQL注入，预处理语句使用教程

PHP开发者必读：本文深入讲解了如何利用预处理语句有效防止SQL注入，保障Web应用安全。SQL注入是常见的Web安全威胁，而预处理语句是PHP应对此威胁的关键手段。文章详细阐述了预处理语句的重要性，并通过PDO和mysqli两种方式，提供了实际的代码示例，演示了如何进行参数化查询，将用户输入作为数据而非SQL代码处理。此外，还介绍了验证过滤用户输入、最小权限原则、定期更新版本、部署WAF等其他安全措施，以及处理LIKE查询通配符和动态表名列名的安全策略，助您构建更安全的PHP应用。掌握预处理语句，配合多重安全防护，远离SQL注入风险！

防止SQL注入的核心是使用预处理语句并绑定参数，1. 使用PDO或mysqli进行参数化查询，将用户输入作为数据而非SQL代码处理；2. 对所有用户输入进行验证和过滤；3. 采用最小权限原则配置数据库用户；4. 定期更新PHP和数据库版本；5. 部署Web应用防火墙（WAF）增强防护；6. 处理LIKE查询时将通配符作为参数绑定；7. 动态表名和列名需通过白名单验证确保安全，从而全面杜绝SQL注入风险。

PHP防止SQL注入，核心在于不要直接将用户输入拼接到SQL语句中。预处理语句，配合参数绑定，是目前最有效的手段。

预处理语句最佳实践

SQL注入是Web安全的老生常谈了，但依然是很多网站的噩梦。PHP作为Web开发的常用语言，自然需要一套完善的机制来应对这种威胁。预处理语句就是其中最重要的一环。

为什么预处理语句如此重要？

想象一下，你正在构建一个查询用户信息的SQL语句。如果直接将用户输入的用户名拼接到SQL里，攻击者就可以构造恶意的输入，比如 ' OR '1'='1，直接绕过你的验证，获取所有用户信息。预处理语句的强大之处在于，它将SQL语句的结构和数据分离开来。你先定义好SQL语句的模板，然后通过参数绑定的方式，将用户输入作为数据传递进去。数据库会把这些数据当成纯粹的字符串，而不是SQL代码的一部分来解析，从而彻底杜绝了SQL注入的可能性。

如何在PHP中使用预处理语句？

PHP提供了两种主要的预处理语句方式：PDO和mysqli。PDO是PHP Data Objects的缩写，是一个数据库访问抽象层，支持多种数据库系统。mysqli是MySQLi extension的缩写，是专门为MySQL数据库设计的扩展。

使用PDO的例子：

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

try {
    $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
    // 设置 PDO 错误模式为异常
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 预处理 SQL 并绑定参数
    $stmt = $conn->prepare("SELECT id, firstname, lastname FROM MyGuests WHERE firstname=:firstname");
    $stmt->bindParam(':firstname', $firstname);

    // 设置参数并执行
    $firstname = $_POST['firstname']; // 从POST请求获取用户名
    $stmt->execute();

    // 获取结果
    $result = $stmt->fetchAll();
    foreach($result as $row) {
        echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
    }

} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}
$conn = null;
?>

在这个例子中，$conn->prepare() 方法创建了一个预处理语句。 :firstname 是一个占位符，稍后会被实际的用户名替换。$stmt->bindParam() 方法将占位符和变量 $firstname 绑定起来。注意，这里我们是从 $_POST 获取用户名的，实际项目中应该进行更严格的输入验证和过滤，防止XSS等其他攻击。

使用mysqli的例子：

<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检测连接
if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 预处理 SQL 并绑定参数
$stmt = $conn->prepare("SELECT id, firstname, lastname FROM MyGuests WHERE firstname = ?");
$stmt->bind_param("s", $firstname); // "s" 表示字符串类型

// 设置参数并执行
$firstname = $_POST['firstname'];
$stmt->execute();

// 获取结果
$result = $stmt->get_result();

if ($result->num_rows > 0) {
    // 输出每行数据
    while($row = $result->fetch_assoc()) {
        echo "id: " . $row["id"]. " - Name: " . $row["firstname"]. " " . $row["lastname"]. "<br>";
    }
} else {
    echo "0 结果";
}

$stmt->close();
$conn->close();
?>

mysqli的预处理语句使用 ? 作为占位符，并通过 $stmt->bind_param() 方法绑定参数。"s" 表示参数类型是字符串。mysqli需要在执行后手动获取结果集。

除了预处理语句，还有哪些防SQL注入的措施？

预处理语句是基础，但并非万能。以下是一些其他的建议：

• 永远不要信任用户输入： 对所有用户输入进行验证和过滤。
• 使用最小权限原则： 数据库用户只应该拥有完成其任务所需的最小权限。
• 定期更新数据库和PHP版本： 及时修复安全漏洞。
• 使用Web应用防火墙（WAF）： WAF可以帮助你检测和阻止恶意请求。

预处理语句的性能影响？

很多人担心预处理语句会降低性能。实际上，预处理语句通常比直接拼接SQL语句更快，尤其是对于重复执行的查询。因为数据库可以缓存预处理语句的执行计划，避免重复解析SQL语句。

如何处理LIKE语句中的通配符？

在使用LIKE语句时，需要特别注意通配符 % 和 _。如果用户输入包含这些字符，可能会导致SQL注入。可以使用数据库提供的函数来转义这些字符。例如，在MySQL中可以使用 mysqli_real_escape_string() 函数。但是，最好的做法仍然是使用预处理语句，并将通配符作为参数传递。

<?php
$search_term = $_POST['search_term'];
$search_term = '%' . $search_term . '%'; // 添加通配符

$stmt = $conn->prepare("SELECT * FROM products WHERE name LIKE ?");
$stmt->bind_param("s", $search_term);
$stmt->execute();
// ...
?>

如何处理动态表名和列名？

预处理语句不能用于动态表名和列名，因为这些是SQL语句结构的一部分，而不是数据。对于这种情况，你需要进行严格的白名单验证，确保用户输入的表名和列名是允许的。不要直接将用户输入拼接到表名和列名中。

<?php
$allowed_tables = ['users', 'products', 'orders'];
$table_name = $_GET['table'];

if (in_array($table_name, $allowed_tables)) {
    $sql = "SELECT * FROM " . $table_name;
    // ...
} else {
    echo "Invalid table name";
}
?>

总而言之，防止SQL注入是一个持续的过程，需要开发者时刻保持警惕，并采取多方面的安全措施。预处理语句是你的第一道防线，但绝不是唯一的防线。

理论要掌握，实操不能落！以上关于《PHP防SQL注入，预处理语句使用教程》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！