从安全角度来看，我倾向于存储过程（MySQL从5.0开始就支持存储过程），其优点是-

大多数数据库（包括MySQL）允许将用户访问限制为执行存储过程。细粒度安全访问控制有助于防止特权攻击升级。这防止了受损的应用程序能够直接针对数据库运行SQL。它们从应用程序中提取原始SQL查询，因此应用程序可以获得的数据库结构信息较少。这使得人们更难理解数据库的底层结构并设计合适的攻击。它们只接受参数，因此参数化查询的优势就在这里。当然，IMO仍然需要清理输入，尤其是在存储过程中使用动态SQL时。

缺点是-

它们（存储过程）很难维护，而且往往会很快繁殖。这使得管理它们成为一个问题。它们不太适合动态查询——若构建它们是为了接受动态代码作为参数，那个么许多优点就被否定了。

我建议使用PDO（PHP数据对象）运行参数化SQL查询。

这不仅可以防止SQL注入，还可以加快查询速度。

而且，通过使用PDO而不是mysql_、mysqli_和pgsql_函数，可以使应用程序从数据库中抽象出一点，这是很少需要切换数据库提供程序的情况。

对于那些不确定如何使用PDO（来自mysql_函数）的人，我制作了一个非常非常简单的PDO包装器，它是一个单独的文件。它的存在是为了显示应用程序需要做的所有常见事情是多么容易。适用于PostgreSQL、MySQL和SQLite。

基本上，在阅读手册的同时阅读它，了解如何在实际生活中使用PDO函数，从而使以所需格式存储和检索值变得简单。

我想要一列$count=数据库：：列（'SELECT count（*）FROM `user`'）；我想要一个数组（key＝＞value）结果（即，用于生成一个选择框）$pairs=数据库：：pairs（'SELECT `id'，`username`FROM`user`'）；我想要单行结果$user=DB:：行（'SELECT*FROM`user`WHERE `id`=？'，数组（$user_id））；我想要一系列结果$banned_users=DB:：fetch（'SELECT*FROM `user`WHERE `banned`=？'，数组（'RUE'））；

安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。

SQL语句中转义特殊字符的一些准则。

不要使用MySQL。此扩展已弃用。请改用MySQLi或PDO。

MySQLi

对于手动转义字符串中的特殊字符，可以使用mysqli_real_escape_string函数。除非使用mysqli_set_charset设置了正确的字符集，否则该函数将无法正常工作。

例子：

$mysqli = new mysqli('host', 'user', 'password', 'database');
$mysqli->set_charset('charset');

$string = $mysqli->real_escape_string($string);
$mysqli->query("INSERT INTO table (column) VALUES ('$string')");

要使用准备好的语句自动转义值，请使用mysqli_prepare和mysqli_stmt_bind_param，其中必须提供相应绑定变量的类型以进行适当的转换：

例子：

$stmt = $mysqli->prepare("INSERT INTO table (column1, column2) VALUES (?,?)");

$stmt->bind_param("is", $integer, $string);

$stmt->execute();

无论您使用prepared语句还是mysqli_real_escape_string，您都必须知道正在使用的输入数据的类型。

因此，如果使用准备好的语句，则必须指定mysqli_stmt_bind_param函数的变量类型。

正如名字所说，mysqli_real_escape_string的使用是为了转义字符串中的特殊字符，因此它不会使整数安全。此函数的目的是防止破坏SQL语句中的字符串，以及它可能对数据库造成的损坏。如果使用得当，mysqli_realescape_string是一个有用的函数，尤其是与sprintf结合使用时。

例子：

$string = "x' OR name LIKE '%John%";
$integer = '5 OR id != 0';

$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 5

$integer = '99999999999999999999';
$query = sprintf("SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 2147483647

无论使用哪个数据库，避免SQL注入攻击的正确方法都是将数据与SQL分离，这样数据就不会被SQL解析器解释为命令。可以使用正确格式化的数据部分创建SQL语句，但如果您不完全了解详细信息，则应始终使用准备好的语句和参数化查询。这些是SQL语句，与任何参数分开发送到数据库服务器并由其解析。这样，攻击者就不可能注入恶意SQL。

你基本上有两种选择来实现这一点：

使用PDO（适用于任何受支持的数据库驱动程序）：$stmt=$pdo->prepare（'SELECT*FROM employees WHERE name=：name'）；$stmt->execute（['name'=>$name]）；foreach（$stm作为$row）{//用$row做点什么}使用MySQLi（用于MySQL）：

由于PHP 8.2+，我们可以使用execute_query（），它在一个方法中准备、绑定参数和执行SQL语句：

$result = $dbConnection->execute_query('SELECT * FROM employees WHERE name = ?', [$name]);

while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

PHP8.1之前：

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name); // 's' specifies the variable type => 'string'
$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
    // Do something with $row
}

如果要连接到MySQL以外的数据库，则可以参考一个特定于驱动程序的第二个选项（例如，PostgreSQL的pg_prepare（）和pg_execute（））。PDO是通用选项。

---

正确设置连接

PDO

注意，当使用PDO访问MySQL数据库时，默认情况下不会使用真正准备好的语句。要解决此问题，必须禁用对已准备语句的模拟。使用PDO创建连接的示例如下：

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8mb4', 'user', 'password');

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

在上面的示例中，错误模式并不是绝对必要的，但建议添加它。这样PDO将通过抛出PDOException通知您所有MySQL错误。

然而，第一行setAttribute（）是必需的，它告诉PDO禁用模拟的准备语句并使用真正的准备语句。这可以确保在将语句和值发送到MySQL服务器之前，PHP不会对其进行解析（使攻击者没有机会注入恶意SQL）。

尽管您可以在构造函数的选项中设置字符集，但需要注意的是，PHP的“旧”版本（5.3.6之前）会默默忽略DSN中的字符集参数。

Mysqli公司

对于mysqli，我们必须遵循相同的程序：

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT); // error reporting
$dbConnection = new mysqli('127.0.0.1', 'username', 'password', 'test');
$dbConnection->set_charset('utf8mb4'); // charset

---

解释

传递给准备的SQL语句由数据库服务器解析和编译。通过指定参数（在上面的示例中为？或命名参数，如：name），您可以告诉数据库引擎要过滤的位置。然后，当您调用execute时，准备好的语句将与您指定的参数值组合在一起。

这里重要的一点是，参数值与编译语句组合，而不是SQL字符串。SQL注入的工作原理是，当脚本创建要发送到数据库的SQL时，诱使脚本包含恶意字符串。因此，通过将实际的SQL与参数分开发送，可以限制出现意外情况的风险。

在使用准备好的语句时发送的任何参数都将被视为字符串（当然，数据库引擎可能会进行一些优化，因此参数也可能以数字结尾）。在上面的示例中，如果$name变量包含“Sarah”；DELETE FROM employees（从员工中删除）结果只需搜索字符串“‘Arah’；DELETE FROM employees”，您不会得到空表。

使用准备好的语句的另一个好处是，如果您在同一会话中多次执行同一语句，那么它只会被解析和编译一次，从而提高了速度。

哦，既然您询问了如何为插入操作，这里有一个示例（使用PDO）：

$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');

$preparedStatement->execute([ 'column' => $unsafeValue ]);

---

准备好的语句可以用于动态查询吗？

虽然您仍然可以为查询参数使用准备好的语句，但动态查询本身的结构不能参数化，某些查询功能也不能参数化。

对于这些特定的场景，最好使用白名单过滤器来限制可能的值。

// Value whitelist
// $dir can only be 'DESC', otherwise it will be 'ASC'
if (empty($dir) || $dir !== 'DESC') {
   $dir = 'ASC';
}

不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）

使用PDO和MYSQLi是防止SQL注入的好方法，但如果您真的想使用MySQL函数和查询，最好使用

mysql_real_reape_string

$unsafe_variable = mysql_real_escape_string($_POST['user_input']);

还有更多的功能可以防止这种情况：比如识别-如果输入是字符串、数字、字符或数组，那么有很多内置函数可以检测这种情况。此外，最好使用这些函数来检查输入数据。

is_string（is_string）

$unsafe_variable = (is_string($_POST['user_input']) ? $_POST['user_input'] : '');

是数字（_N）

$unsafe_variable = (is_numeric($_POST['user_input']) ? $_POST['user_input'] : '');

使用这些函数来检查mysql_real_aescape_string中的输入数据要好得多。