有许多方法可以防止SQL注入和其他SQL攻击。你可以很容易地在互联网上找到它（谷歌搜索）。当然，PDO是一个很好的解决方案。但我想建议您一些防止SQL注入的良好链接。

什么是SQL注入以及如何防止

SQL注入PHP手册

Microsoft对PHP中SQL注入和预防的解释

还有一些类似于防止MySQL和PHP的SQL注入。

现在，为什么需要防止SQL注入查询？

我想告诉您：为什么我们要通过下面的一个简短示例来防止SQL注入：

查询登录身份验证匹配：

$query="select * from users where email='".$_POST['email']."' and password='".$_POST['password']."' ";

现在，如果有人（黑客）

$_POST['email']= admin@emali.com' OR '1=1

和密码。。。。

查询将被解析到系统中，直到：

$query="select * from users where email='admin@emali.com' OR '1=1';

另一部分将被丢弃。那么，会发生什么？未经授权的用户（黑客）可以以管理员身份登录，而无需密码。现在，他/她可以做管理员/电子邮件管理员可以做的任何事情。看，如果不阻止SQL注入，这是非常危险的。

这里的每个答案都只涵盖了问题的一部分。事实上，有四个不同的查询部分可以动态添加到SQL中：-

字符串一个数字标识符语法关键字

准备好的声明只涵盖其中两个。

但有时我们必须使查询更加动态，同时还要添加运算符或标识符。因此，我们需要不同的保护技术。

通常，这种保护方法基于白名单。

在这种情况下，每个动态参数都应该在脚本中硬编码，并从该集合中选择。例如，要执行动态排序：

$orders  = array("name", "price", "qty"); // Field names
$key = array_search($_GET['sort'], $orders)); // if we have such a name
$orderby = $orders[$key]; // If not, first one will be set automatically. 
$query = "SELECT * FROM `table` ORDER BY $orderby"; // Value is safe

为了简化这个过程，我编写了一个白名单助手函数，它在一行中完成所有工作：

$orderby = white_list($_GET['orderby'], "name", ["name","price","qty"], "Invalid field name");
$query  = "SELECT * FROM `table` ORDER BY `$orderby`"; // sound and safe

还有另一种保护标识符的方法——逃避，但我更倾向于将白名单作为一种更稳健、更明确的方法。然而，只要引用了标识符，就可以转义引号字符以使其安全。例如，默认情况下，mysql的引号字符必须加倍才能转义。其他DBMS的转义规则则不同。

尽管如此，SQL语法关键字（如AND、DESC等）仍然存在问题，但在这种情况下，白名单似乎是唯一的方法。

因此，一般性建议可表述为

任何表示SQL数据文本的变量（或者，简单地说，SQL字符串或数字）都必须通过准备好的语句添加。无例外。任何其他查询部分，如SQL关键字、表或字段名或运算符，都必须通过白名单进行筛选。

使现代化

尽管人们对SQL注入保护的最佳做法达成了一致，但仍有许多不好的做法。其中一些过于深入人心。例如，就在这个页面上，有80多个被删除的答案（尽管大多数访问者看不见），这些答案都是由于质量不好或推广不良和过时的做法而被社区删除的。更糟糕的是，一些糟糕的答案并没有被删除，反而变得繁荣起来。

例如，有（1）仍然有（3）许多（4）答案（5），包括排名第二的、建议手动字符串转义的答案，这是一种过时的方法，被证明是不安全的。

或者有一个稍微好一点的答案，它只是建议了另一种字符串格式化方法，甚至将其作为终极灵丹妙药。当然，事实并非如此。这种方法并不比常规字符串格式好，但它保留了所有缺点：它只适用于字符串，与任何其他手动格式一样，它本质上是可选的、非强制性的措施，容易出现任何类型的人为错误。

我认为这一切都是因为一个非常古老的迷信，得到了OWASP或PHP手册等权威机构的支持，它宣称任何“逃逸”和SQL注入保护之间的平等。

不管PHP手册说了多少年，*_escape_string决不会使数据安全，也从来没有想过这样做。除了对字符串以外的任何SQL部分都没有用处之外，手动转义是错误的，因为它是手动的，而不是自动的。

OWASP使情况更糟，强调逃避用户输入，这完全是无稽之谈：在注射保护的上下文中不应该有这样的词。每一个变量都有潜在的危险——无论来源如何！或者，换句话说，每一个变量都必须经过正确的格式化才能放入查询中，无论其来源是什么。重要的是目的地。当开发人员开始将绵羊和山羊分开时（考虑某个特定变量是否“安全”），他/她就迈出了灾难的第一步。更不用说，就连措辞都建议在入口点进行大容量转义，这类似于非常神奇的引号功能——已经被轻视、弃用和删除。

因此，与任何“转义”不同的是，准备好的语句确实是防止SQL注入的措施（如果适用）。

我建议使用PDO（PHP数据对象）运行参数化SQL查询。

这不仅可以防止SQL注入，还可以加快查询速度。

而且，通过使用PDO而不是mysql_、mysqli_和pgsql_函数，可以使应用程序从数据库中抽象出一点，这是很少需要切换数据库提供程序的情况。

不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）

使用PDO和MYSQLi是防止SQL注入的好方法，但如果您真的想使用MySQL函数和查询，最好使用

mysql_real_reape_string

$unsafe_variable = mysql_real_escape_string($_POST['user_input']);

还有更多的功能可以防止这种情况：比如识别-如果输入是字符串、数字、字符或数组，那么有很多内置函数可以检测这种情况。此外，最好使用这些函数来检查输入数据。

is_string（is_string）

$unsafe_variable = (is_string($_POST['user_input']) ? $_POST['user_input'] : '');

是数字（_N）

$unsafe_variable = (is_numeric($_POST['user_input']) ? $_POST['user_input'] : '');

使用这些函数来检查mysql_real_aescape_string中的输入数据要好得多。

使用PDO和准备好的查询。

（$conn是PDO对象）

$stmt = $conn->prepare("INSERT INTO tbl VALUES(:id, :name)");
$stmt->bindValue(':id', $id);
$stmt->bindValue(':name', $name);
$stmt->execute();

警告：本答案中描述的方法仅适用于非常特定的场景，并不安全，因为SQL注入攻击不仅仅依赖于能够注入X=Y。

如果攻击者试图通过PHP的$_GET变量或URL的查询字符串侵入表单，如果他们不安全，您将能够抓住他们。

RewriteCond %{QUERY_STRING} ([0-9]+)=([0-9]+)
RewriteRule ^(.*) ^/track.php

因为1=1、2=2、1=2、2=1、1+1=2等……是攻击者SQL数据库的常见问题。也许它也被许多黑客应用程序使用。

但您必须小心，不能从站点重写安全查询。上面的代码为您提供了一个提示，可以重写或重定向（这取决于您）将特定的动态查询字符串黑客入侵到一个页面中，该页面将存储攻击者的IP地址，甚至是他们的COOKIES、历史记录、浏览器或任何其他敏感信息，因此您可以稍后通过禁用他们的帐户或联系当局来处理他们。