PHP和MySQL有很多答案，但以下是针对PHP和Oracle的代码，用于防止SQL注入以及定期使用oci8驱动程序：

$conn = oci_connect($username, $password, $connection_string);
$stmt = oci_parse($conn, 'UPDATE table SET field = :xx WHERE ID = 123');
oci_bind_by_name($stmt, ':xx', $fieldval);
oci_execute($stmt);

不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）重要的防止SQL注入的最佳方法是使用Prepared语句而不是转义，正如公认的答案所示。有Aura.Sql和EasyDB这样的库可以让开发人员更容易地使用准备好的语句。若要了解更多有关为什么准备好的语句更善于停止SQL注入的信息，请参阅此mysql_real_ascape_string（）旁路以及最近修复的WordPress中的Unicode SQL注入漏洞。

注入预防-mysql_real_ascape_string（）

PHP有一个专门制作的函数来防止这些攻击。您所需要做的就是使用一个函数，mysql_real_aescape_string。

mysql_real_aescape_string获取一个将在mysql查询中使用的字符串，并返回同一个字符串，所有SQL注入尝试都安全逃脱。基本上，它会将用户可能输入的那些麻烦的引号（'）替换为MySQL安全的替代品，即转义引号“”。

注意：您必须连接到数据库才能使用此功能！

//连接到MySQL

$name_bad = "' OR 1'"; 

$name_bad = mysql_real_escape_string($name_bad);

$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
echo "Escaped Bad Injection: <br />" . $query_bad . "<br />";


$name_evil = "'; DELETE FROM customers WHERE 1 or username = '"; 

$name_evil = mysql_real_escape_string($name_evil);

$query_evil = "SELECT * FROM customers WHERE username = '$name_evil'";
echo "Escaped Evil Injection: <br />" . $query_evil;

您可以在MySQL-SQL注入预防中找到更多详细信息。

对于那些不确定如何使用PDO（来自mysql_函数）的人，我制作了一个非常非常简单的PDO包装器，它是一个单独的文件。它的存在是为了显示应用程序需要做的所有常见事情是多么容易。适用于PostgreSQL、MySQL和SQLite。

基本上，在阅读手册的同时阅读它，了解如何在实际生活中使用PDO函数，从而使以所需格式存储和检索值变得简单。

我想要一列$count=数据库：：列（'SELECT count（*）FROM `user`'）；我想要一个数组（key＝＞value）结果（即，用于生成一个选择框）$pairs=数据库：：pairs（'SELECT `id'，`username`FROM`user`'）；我想要单行结果$user=DB:：行（'SELECT*FROM`user`WHERE `id`=？'，数组（$user_id））；我想要一系列结果$banned_users=DB:：fetch（'SELECT*FROM `user`WHERE `banned`=？'，数组（'RUE'））；

安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。

SQL语句中转义特殊字符的一些准则。

不要使用MySQL。此扩展已弃用。请改用MySQLi或PDO。

MySQLi

对于手动转义字符串中的特殊字符，可以使用mysqli_real_escape_string函数。除非使用mysqli_set_charset设置了正确的字符集，否则该函数将无法正常工作。

例子：

$mysqli = new mysqli('host', 'user', 'password', 'database');
$mysqli->set_charset('charset');

$string = $mysqli->real_escape_string($string);
$mysqli->query("INSERT INTO table (column) VALUES ('$string')");

要使用准备好的语句自动转义值，请使用mysqli_prepare和mysqli_stmt_bind_param，其中必须提供相应绑定变量的类型以进行适当的转换：

例子：

$stmt = $mysqli->prepare("INSERT INTO table (column1, column2) VALUES (?,?)");

$stmt->bind_param("is", $integer, $string);

$stmt->execute();

无论您使用prepared语句还是mysqli_real_escape_string，您都必须知道正在使用的输入数据的类型。

因此，如果使用准备好的语句，则必须指定mysqli_stmt_bind_param函数的变量类型。

正如名字所说，mysqli_real_escape_string的使用是为了转义字符串中的特殊字符，因此它不会使整数安全。此函数的目的是防止破坏SQL语句中的字符串，以及它可能对数据库造成的损坏。如果使用得当，mysqli_realescape_string是一个有用的函数，尤其是与sprintf结合使用时。

例子：

$string = "x' OR name LIKE '%John%";
$integer = '5 OR id != 0';

$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 5

$integer = '99999999999999999999';
$query = sprintf("SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 2147483647

要使用参数化查询，需要使用Mysqli或PDO。要用mysqli重写示例，我们需要以下内容。

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$mysqli = new mysqli("server", "username", "password", "database_name");

$variable = $_POST["user-input"];
$stmt = $mysqli->prepare("INSERT INTO table (column) VALUES (?)");
// "s" means the database expects a string
$stmt->bind_param("s", $variable);
$stmt->execute();

你想在那里读到的关键函数是mysqli:：prepare。

此外，正如其他人所建议的，您可能会发现使用PDO之类的东西来提升抽象层是有用的/更容易的。

请注意，您询问的案例相当简单，更复杂的案例可能需要更复杂的方法。特别地：

如果您希望根据用户输入更改SQL的结构，参数化查询将不会有帮助，并且mysql_real_ascape_string不包含所需的转义。在这种情况下，最好通过白名单传递用户的输入，以确保只允许通过“安全”值。

从安全角度来看，我倾向于存储过程（MySQL从5.0开始就支持存储过程），其优点是-

大多数数据库（包括MySQL）允许将用户访问限制为执行存储过程。细粒度安全访问控制有助于防止特权攻击升级。这防止了受损的应用程序能够直接针对数据库运行SQL。它们从应用程序中提取原始SQL查询，因此应用程序可以获得的数据库结构信息较少。这使得人们更难理解数据库的底层结构并设计合适的攻击。它们只接受参数，因此参数化查询的优势就在这里。当然，IMO仍然需要清理输入，尤其是在存储过程中使用动态SQL时。

缺点是-

它们（存储过程）很难维护，而且往往会很快繁殖。这使得管理它们成为一个问题。它们不太适合动态查询——若构建它们是为了接受动态代码作为参数，那个么许多优点就被否定了。