有许多方法可以防止SQL注入和其他SQL攻击。你可以很容易地在互联网上找到它（谷歌搜索）。当然，PDO是一个很好的解决方案。但我想建议您一些防止SQL注入的良好链接。

什么是SQL注入以及如何防止

SQL注入PHP手册

Microsoft对PHP中SQL注入和预防的解释

还有一些类似于防止MySQL和PHP的SQL注入。

现在，为什么需要防止SQL注入查询？

我想告诉您：为什么我们要通过下面的一个简短示例来防止SQL注入：

查询登录身份验证匹配：

$query="select * from users where email='".$_POST['email']."' and password='".$_POST['password']."' ";

现在，如果有人（黑客）

$_POST['email']= admin@emali.com' OR '1=1

和密码。。。。

查询将被解析到系统中，直到：

$query="select * from users where email='admin@emali.com' OR '1=1';

另一部分将被丢弃。那么，会发生什么？未经授权的用户（黑客）可以以管理员身份登录，而无需密码。现在，他/她可以做管理员/电子邮件管理员可以做的任何事情。看，如果不阻止SQL注入，这是非常危险的。

安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。

SQL语句中转义特殊字符的一些准则。

不要使用MySQL。此扩展已弃用。请改用MySQLi或PDO。

MySQLi

对于手动转义字符串中的特殊字符，可以使用mysqli_real_escape_string函数。除非使用mysqli_set_charset设置了正确的字符集，否则该函数将无法正常工作。

例子：

$mysqli = new mysqli('host', 'user', 'password', 'database');
$mysqli->set_charset('charset');

$string = $mysqli->real_escape_string($string);
$mysqli->query("INSERT INTO table (column) VALUES ('$string')");

要使用准备好的语句自动转义值，请使用mysqli_prepare和mysqli_stmt_bind_param，其中必须提供相应绑定变量的类型以进行适当的转换：

例子：

$stmt = $mysqli->prepare("INSERT INTO table (column1, column2) VALUES (?,?)");

$stmt->bind_param("is", $integer, $string);

$stmt->execute();

无论您使用prepared语句还是mysqli_real_escape_string，您都必须知道正在使用的输入数据的类型。

因此，如果使用准备好的语句，则必须指定mysqli_stmt_bind_param函数的变量类型。

正如名字所说，mysqli_real_escape_string的使用是为了转义字符串中的特殊字符，因此它不会使整数安全。此函数的目的是防止破坏SQL语句中的字符串，以及它可能对数据库造成的损坏。如果使用得当，mysqli_realescape_string是一个有用的函数，尤其是与sprintf结合使用时。

例子：

$string = "x' OR name LIKE '%John%";
$integer = '5 OR id != 0';

$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 5

$integer = '99999999999999999999';
$query = sprintf("SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string($string), $integer);

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 2147483647

我认为如果有人想使用PHP和MySQL或其他数据库服务器：

考虑一下学习PDO（PHP数据对象）——它是一个数据库访问层，提供了访问多个数据库的统一方法。考虑学习MySQLi

---

库示例：

----个人数字助理

-----没有占位符-SQL注入时机成熟！这很糟糕

$request = $pdoConnection->("INSERT INTO parents (name, addr, city) values ($name, $addr, $city)");

-----未命名占位符

$request = $pdoConnection->("INSERT INTO parents (name, addr, city) values (?, ?, ?);

-----命名占位符

$request = $pdoConnection->("INSERT INTO parents (name, addr, city) value (:name, :addr, :city)");

---MySQLi

$request = $mysqliConnection->prepare('
       SELECT * FROM trainers
       WHERE name = ?
       AND email = ?
       AND last_login > ?');

    $query->bind_param('first_param', 'second_param', $mail, time() - 3600);
    $query->execute();

---

P.S:

PDO轻松赢得了这场战斗。支持12个不同的数据库驱动程序和命名参数，我们可以习惯它的API。从安全的角度来看，只要开发人员按照应该使用的方式使用它们，它们都是安全的

关于许多有用的答案，我希望为这一主题增添一些价值。

SQL注入是一种可以通过用户输入（由用户填充然后在查询中使用的输入）进行的攻击。SQL注入模式是正确的查询语法，而我们可以称之为：错误的查询是由于错误的原因，我们假设可能有坏人试图获取影响安全性（机密性、完整性和可用性）三个原则的秘密信息（绕过访问控制）。

现在，我们的重点是防止安全威胁，如SQL注入攻击，问题是（如何使用PHP防止SQL注入攻击），更现实的是，数据过滤或清除输入数据是在这样的查询中使用用户输入数据时的情况，而不是使用PHP或任何其他编程语言，或者更多人建议使用现代技术，如prepared语句或当前支持SQL注入预防的任何其他工具，是否认为这些工具不再可用？如何保护您的应用程序？

我反对SQL注入的方法是：在将用户输入数据发送到数据库之前（在任何查询中使用之前）清除用户输入数据。

的数据筛选（将不安全数据转换为安全数据）

考虑PDO和MySQLi不可用。如何保护应用程序？你强迫我使用它们吗？PHP以外的其他语言呢？我更愿意提供一般性的想法，因为它可以用于更广泛的边界，而不仅仅是用于特定的语言。

SQL用户（限制用户权限）：最常见的SQL操作是（SELECT、UPDATE、INSERT），那么，为什么要将UPDATE权限授予不需要它的用户呢？例如，登录和搜索页面只使用SELECT，那么，为什么在这些页面中使用具有高权限的DB用户？

规则：不要为所有权限创建一个数据库用户。对于所有SQL操作，您可以创建类似（deluser、selectuser、updateuser）的方案作为用户名，以方便使用。

参见最低特权原则。

数据过滤：在构建任何查询用户输入之前，应该对其进行验证和过滤。对于程序员来说，为每个用户输入变量定义一些财产很重要：数据类型、数据模式和数据长度。一个介于（x和y）之间的数字字段必须使用精确的规则进行精确验证，对于一个字符串（文本）的字段：模式就是这种情况，例如，用户名只能包含一些字符，比如[A-zA-Z0-9_-.]。长度在（x和n）之间变化，其中x和n（整数，x<=n）。规则：创建精确的过滤器和验证规则是我的最佳实践。使用其他工具：在这里，我也同意您的观点，即准备好的语句（参数化查询）和存储过程。这里的缺点是这些方法需要高级技能，而大多数用户并不具备这些技能。这里的基本思想是区分SQL查询和内部使用的数据。这两种方法甚至可以用于不安全的数据，因为这里的用户输入数据不会向原始查询添加任何内容，例如（any或x=x）。

有关详细信息，请阅读OWASP SQL注入预防秘籍。

现在，如果您是高级用户，可以开始使用这种防御，但是对于初学者来说，如果他们不能快速实现存储过程并准备好语句，最好尽可能过滤输入数据。

最后，让我们考虑用户在下面发送此文本，而不是输入其用户名：

[1] UNION SELECT IF(SUBSTRING(Password,1,1)='2',BENCHMARK(100000,SHA1(1)),0) User,Password FROM mysql.user WHERE User = 'root'

可以在没有任何准备好的语句和存储过程的情况下尽早检查此输入，但为了安全起见，在用户数据过滤和验证之后开始使用它们。

最后一点是检测需要更多努力和复杂性的意外行为；它不建议用于普通的web应用程序。

上述用户输入中的意外行为是SELECT、UNION、IF、SUBSTRING、BENCHMARK、SHA和root。一旦检测到这些单词，就可以避免输入。

更新1:

一位用户评论说，这篇文章毫无用处，好吧！以下是OWASP.ORG提供的内容：

主要防御措施：选项#1：使用准备好的语句（参数化查询）选项#2：使用存储过程选项#3：转义所有用户提供的输入其他防御措施：同时强制：最低权限同时执行：白名单输入验证

正如你可能知道的，声称一篇文章应该有一个有效的论据支持，至少要有一个引用！否则，这被认为是一次攻击和一次糟糕的索赔！

更新2:

从PHP手册中，PHP：准备好的语句-手册：

转义和SQL注入绑定变量将由服务器自动转义。这个服务器将其转义值插入到语句模板。必须向绑定变量类型的服务器，以创建适当的转变有关详细信息，请参见mysqli_stmt_bind_param（）函数信息服务器中的值的自动转义有时是被认为是防止SQL注入的安全功能。相同的在以下情况下，可以使用未准备的报表实现安全程度输入值被正确转义。

更新3:

我创建了测试用例，以了解PDO和MySQLi在使用准备好的语句时如何将查询发送到MySQL服务器：

PDO:

$user = "''1''"; // Malicious keyword
$sql = 'SELECT * FROM awa_user WHERE userame =:username';
$sth = $dbh->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
$sth->execute(array(':username' => $user));

查询日志：

189查询SELECT*FROM awa_user WHERE username=“\”\“1”\“”189退出

MySQLi：

$stmt = $mysqli->prepare("SELECT * FROM awa_user WHERE username =?")) {
$stmt->bind_param("s", $user);
$user = "''1''";
$stmt->execute();

查询日志：

188准备SELECT*FROM awa_user WHERE username=？188执行SELECT*FROM awa_user WHERE用户名=“\”\“1”\“”188退出

很明显，准备好的语句也在逃避数据，而不是其他。

同样如上述陈述中所述，

服务器内值的自动转义有时被认为是防止SQL注入的安全功能。如果输入值被正确转义，则可以使用未准备的语句实现相同程度的安全性

因此，这证明了在发送任何查询之前对整数值进行数据验证（如intval（））是一个好主意。此外，在发送查询之前防止恶意用户数据是一种正确有效的方法。

请参阅这个问题以了解更多详细信息：PDO向MySQL发送原始查询，而Mysqli发送准备好的查询，两者都产生相同的结果

参考文献：

SQL注入秘籍SQL注入信息安全安全原则数据验证

一个简单的方法是使用像CodeIgniter或Laravel这样的PHP框架，它具有内置的过滤和活动记录等功能，因此您不必担心这些细微差别。

从安全角度来看，我倾向于存储过程（MySQL从5.0开始就支持存储过程），其优点是-

大多数数据库（包括MySQL）允许将用户访问限制为执行存储过程。细粒度安全访问控制有助于防止特权攻击升级。这防止了受损的应用程序能够直接针对数据库运行SQL。它们从应用程序中提取原始SQL查询，因此应用程序可以获得的数据库结构信息较少。这使得人们更难理解数据库的底层结构并设计合适的攻击。它们只接受参数，因此参数化查询的优势就在这里。当然，IMO仍然需要清理输入，尤其是在存储过程中使用动态SQL时。

缺点是-

它们（存储过程）很难维护，而且往往会很快繁殖。这使得管理它们成为一个问题。它们不太适合动态查询——若构建它们是为了接受动态代码作为参数，那个么许多优点就被否定了。