正如你所看到的，人们建议你最多使用准备好的陈述。这并没有错，但如果每个进程只执行一次查询，则会有轻微的性能损失。

我正面临这个问题，但我认为我以非常复杂的方式解决了它——黑客避免使用引号的方式。我将其与模拟的准备语句结合使用。我使用它来防止各种可能的SQL注入攻击。

我的方法：

如果您希望输入是整数，请确保它真的是整数。在像PHP这样的变量类型语言中，这一点非常重要。例如，您可以使用这个非常简单但功能强大的解决方案：sprintf（“SELECT 1,2,3 FROM table WHERE 4=%u”，$input）；如果你对整数十六进制有任何期望，如果你对它十六进制，你将完全逃避所有输入。在C/C++中有一个名为mysql_hex_string（）的函数，在PHP中可以使用bin2hex（）。不用担心转义字符串的大小是其原始长度的2倍，因为即使使用mysql_real_ascape_string，PHP也必须分配相同的容量（（2*input_length）+1），这是相同的。这种十六进制方法通常在传输二进制数据时使用，但我认为没有理由不对所有数据使用它来防止SQL注入攻击。请注意，您必须在数据前面加上0x，或者改用MySQL函数UNHEX。

例如，查询：

SELECT password FROM users WHERE name = 'root';

将变成：

SELECT password FROM users WHERE name = 0x726f6f74;

or

SELECT password FROM users WHERE name = UNHEX('726f6f74');

Hex是完美的逃脱。无法注射。

UNHEX函数与0x前缀之间的差异

评论中有一些讨论，所以我最后想说清楚。这两种方法非常相似，但在某些方面略有不同：

0x前缀只能用于char、varchar、text、block、binary等数据列。此外，如果要插入空字符串，则其使用有点复杂。您必须将其完全替换为“”，否则会出现错误。

UNHEX（）适用于任何列；你不必担心空字符串。

十六进制方法通常用作攻击

注意，这种十六进制方法通常被用作SQL注入攻击，其中整数就像字符串一样，并且只使用mysql_real_aescape_string进行转义。然后可以避免使用引号。

例如，如果你只是这样做：

"SELECT title FROM article WHERE id = " . mysql_real_escape_string($_GET["id"])

攻击很容易给你注射。考虑从脚本返回的以下注入代码：

SELECT ... WHERE id = -1 UNION ALL SELECT table_name FROM information_schema.tables;

现在只提取表结构：

SELECT ... WHERE id = -1 UNION ALL SELECT column_name FROM information_schema.column WHERE table_name = __0x61727469636c65__;

然后只需选择所需的数据。是不是很酷？

但如果可注入站点的编码器将其十六进制，则不可能进行注入，因为查询将如下所示：

SELECT ... WHERE id = UNHEX('2d312075...3635');

无论你最终使用的是什么，确保你的输入没有被magic_quotes或其他善意的垃圾破坏，如果有必要的话，通过条带斜杠或其他方式来清理它。

我认为，在PHP应用程序（或任何web应用程序）中防止SQL注入的最佳方法是考虑应用程序的架构。如果防止SQL注入的唯一方法是记住使用一个特殊的方法或函数，它在每次与数据库对话时都会做正确的事情，那么这是错误的。这样，在代码的某个时刻忘记正确格式化查询只是时间问题。

采用MVC模式和CakePHP或CodeIgniter这样的框架可能是正确的方法：创建安全数据库查询等常见任务已在这些框架中得到解决并集中实现。它们可以帮助您以合理的方式组织web应用程序，并让您更多地考虑加载和保存对象，而不是安全地构造单个SQL查询。

我建议使用PDO（PHP数据对象）运行参数化SQL查询。

这不仅可以防止SQL注入，还可以加快查询速度。

而且，通过使用PDO而不是mysql_、mysqli_和pgsql_函数，可以使应用程序从数据库中抽象出一点，这是很少需要切换数据库提供程序的情况。

对于那些不确定如何使用PDO（来自mysql_函数）的人，我制作了一个非常非常简单的PDO包装器，它是一个单独的文件。它的存在是为了显示应用程序需要做的所有常见事情是多么容易。适用于PostgreSQL、MySQL和SQLite。

基本上，在阅读手册的同时阅读它，了解如何在实际生活中使用PDO函数，从而使以所需格式存储和检索值变得简单。

我想要一列$count=数据库：：列（'SELECT count（*）FROM `user`'）；我想要一个数组（key＝＞value）结果（即，用于生成一个选择框）$pairs=数据库：：pairs（'SELECT `id'，`username`FROM`user`'）；我想要单行结果$user=DB:：行（'SELECT*FROM`user`WHERE `id`=？'，数组（$user_id））；我想要一系列结果$banned_users=DB:：fetch（'SELECT*FROM `user`WHERE `banned`=？'，数组（'RUE'））；

不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）

参数化查询AND输入验证是一种方法。尽管使用了mysql_real_ascape_string（），但在许多情况下可能会发生SQL注入。

这些示例易受SQL注入攻击：

$offset = isset($_GET['o']) ? $_GET['o'] : 0;
$offset = mysql_real_escape_string($offset);
RunQuery("SELECT userid, username FROM sql_injection_test LIMIT $offset, 10");

or

$order = isset($_GET['o']) ? $_GET['o'] : 'userid';
$order = mysql_real_escape_string($order);
RunQuery("SELECT userid, username FROM sql_injection_test ORDER BY `$order`");

在这两种情况下，都不能使用“”来保护封装。

来源：意外的SQL注入（当转义不够时）