不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）重要的防止SQL注入的最佳方法是使用Prepared语句而不是转义，正如公认的答案所示。有Aura.Sql和EasyDB这样的库可以让开发人员更容易地使用准备好的语句。若要了解更多有关为什么准备好的语句更善于停止SQL注入的信息，请参阅此mysql_real_ascape_string（）旁路以及最近修复的WordPress中的Unicode SQL注入漏洞。

注入预防-mysql_real_ascape_string（）

PHP有一个专门制作的函数来防止这些攻击。您所需要做的就是使用一个函数，mysql_real_aescape_string。

mysql_real_aescape_string获取一个将在mysql查询中使用的字符串，并返回同一个字符串，所有SQL注入尝试都安全逃脱。基本上，它会将用户可能输入的那些麻烦的引号（'）替换为MySQL安全的替代品，即转义引号“”。

注意：您必须连接到数据库才能使用此功能！

//连接到MySQL

$name_bad = "' OR 1'"; 

$name_bad = mysql_real_escape_string($name_bad);

$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
echo "Escaped Bad Injection: <br />" . $query_bad . "<br />";


$name_evil = "'; DELETE FROM customers WHERE 1 or username = '"; 

$name_evil = mysql_real_escape_string($name_evil);

$query_evil = "SELECT * FROM customers WHERE username = '$name_evil'";
echo "Escaped Evil Injection: <br />" . $query_evil;

您可以在MySQL-SQL注入预防中找到更多详细信息。

不推荐的警告：这个答案的示例代码（与问题的示例代码一样）使用了PHP的MySQL扩展，该扩展在PHP 5.5.0中被弃用，在PHP 7.0.0中被完全删除。安全警告：此答案不符合安全最佳实践。转义不足以防止SQL注入，请改用准备好的语句。使用以下概述的策略，风险自负。（此外，在PHP7中删除了mysql_real_ascape_string（）。）重要的防止SQL注入的最佳方法是使用Prepared语句而不是转义，正如公认的答案所示。有Aura.Sql和EasyDB这样的库可以让开发人员更容易地使用准备好的语句。若要了解更多有关为什么准备好的语句更善于停止SQL注入的信息，请参阅此mysql_real_ascape_string（）旁路以及最近修复的WordPress中的Unicode SQL注入漏洞。

注入预防-mysql_real_ascape_string（）

PHP有一个专门制作的函数来防止这些攻击。您所需要做的就是使用一个函数，mysql_real_aescape_string。

mysql_real_aescape_string获取一个将在mysql查询中使用的字符串，并返回同一个字符串，所有SQL注入尝试都安全逃脱。基本上，它会将用户可能输入的那些麻烦的引号（'）替换为MySQL安全的替代品，即转义引号“”。

注意：您必须连接到数据库才能使用此功能！

//连接到MySQL

$name_bad = "' OR 1'"; 

$name_bad = mysql_real_escape_string($name_bad);

$query_bad = "SELECT * FROM customers WHERE username = '$name_bad'";
echo "Escaped Bad Injection: <br />" . $query_bad . "<br />";


$name_evil = "'; DELETE FROM customers WHERE 1 or username = '"; 

$name_evil = mysql_real_escape_string($name_evil);

$query_evil = "SELECT * FROM customers WHERE username = '$name_evil'";
echo "Escaped Evil Injection: <br />" . $query_evil;

您可以在MySQL-SQL注入预防中找到更多详细信息。

对于那些不确定如何使用PDO（来自mysql_函数）的人，我制作了一个非常非常简单的PDO包装器，它是一个单独的文件。它的存在是为了显示应用程序需要做的所有常见事情是多么容易。适用于PostgreSQL、MySQL和SQLite。

基本上，在阅读手册的同时阅读它，了解如何在实际生活中使用PDO函数，从而使以所需格式存储和检索值变得简单。

我想要一列$count=数据库：：列（'SELECT count（*）FROM `user`'）；我想要一个数组（key＝＞value）结果（即，用于生成一个选择框）$pairs=数据库：：pairs（'SELECT `id'，`username`FROM`user`'）；我想要单行结果$user=DB:：行（'SELECT*FROM`user`WHERE `id`=？'，数组（$user_id））；我想要一系列结果$banned_users=DB:：fetch（'SELECT*FROM `user`WHERE `banned`=？'，数组（'RUE'））；

从安全角度来看，我倾向于存储过程（MySQL从5.0开始就支持存储过程），其优点是-

大多数数据库（包括MySQL）允许将用户访问限制为执行存储过程。细粒度安全访问控制有助于防止特权攻击升级。这防止了受损的应用程序能够直接针对数据库运行SQL。它们从应用程序中提取原始SQL查询，因此应用程序可以获得的数据库结构信息较少。这使得人们更难理解数据库的底层结构并设计合适的攻击。它们只接受参数，因此参数化查询的优势就在这里。当然，IMO仍然需要清理输入，尤其是在存储过程中使用动态SQL时。

缺点是-

它们（存储过程）很难维护，而且往往会很快繁殖。这使得管理它们成为一个问题。它们不太适合动态查询——若构建它们是为了接受动态代码作为参数，那个么许多优点就被否定了。

这里的每个答案都只涵盖了问题的一部分。事实上，有四个不同的查询部分可以动态添加到SQL中：-

字符串一个数字标识符语法关键字

准备好的声明只涵盖其中两个。

但有时我们必须使查询更加动态，同时还要添加运算符或标识符。因此，我们需要不同的保护技术。

通常，这种保护方法基于白名单。

在这种情况下，每个动态参数都应该在脚本中硬编码，并从该集合中选择。例如，要执行动态排序：

$orders  = array("name", "price", "qty"); // Field names
$key = array_search($_GET['sort'], $orders)); // if we have such a name
$orderby = $orders[$key]; // If not, first one will be set automatically. 
$query = "SELECT * FROM `table` ORDER BY $orderby"; // Value is safe

为了简化这个过程，我编写了一个白名单助手函数，它在一行中完成所有工作：

$orderby = white_list($_GET['orderby'], "name", ["name","price","qty"], "Invalid field name");
$query  = "SELECT * FROM `table` ORDER BY `$orderby`"; // sound and safe

还有另一种保护标识符的方法——逃避，但我更倾向于将白名单作为一种更稳健、更明确的方法。然而，只要引用了标识符，就可以转义引号字符以使其安全。例如，默认情况下，mysql的引号字符必须加倍才能转义。其他DBMS的转义规则则不同。

尽管如此，SQL语法关键字（如AND、DESC等）仍然存在问题，但在这种情况下，白名单似乎是唯一的方法。

因此，一般性建议可表述为

任何表示SQL数据文本的变量（或者，简单地说，SQL字符串或数字）都必须通过准备好的语句添加。无例外。任何其他查询部分，如SQL关键字、表或字段名或运算符，都必须通过白名单进行筛选。

使现代化

尽管人们对SQL注入保护的最佳做法达成了一致，但仍有许多不好的做法。其中一些过于深入人心。例如，就在这个页面上，有80多个被删除的答案（尽管大多数访问者看不见），这些答案都是由于质量不好或推广不良和过时的做法而被社区删除的。更糟糕的是，一些糟糕的答案并没有被删除，反而变得繁荣起来。

例如，有（1）仍然有（3）许多（4）答案（5），包括排名第二的、建议手动字符串转义的答案，这是一种过时的方法，被证明是不安全的。

或者有一个稍微好一点的答案，它只是建议了另一种字符串格式化方法，甚至将其作为终极灵丹妙药。当然，事实并非如此。这种方法并不比常规字符串格式好，但它保留了所有缺点：它只适用于字符串，与任何其他手动格式一样，它本质上是可选的、非强制性的措施，容易出现任何类型的人为错误。

我认为这一切都是因为一个非常古老的迷信，得到了OWASP或PHP手册等权威机构的支持，它宣称任何“逃逸”和SQL注入保护之间的平等。

不管PHP手册说了多少年，*_escape_string决不会使数据安全，也从来没有想过这样做。除了对字符串以外的任何SQL部分都没有用处之外，手动转义是错误的，因为它是手动的，而不是自动的。

OWASP使情况更糟，强调逃避用户输入，这完全是无稽之谈：在注射保护的上下文中不应该有这样的词。每一个变量都有潜在的危险——无论来源如何！或者，换句话说，每一个变量都必须经过正确的格式化才能放入查询中，无论其来源是什么。重要的是目的地。当开发人员开始将绵羊和山羊分开时（考虑某个特定变量是否“安全”），他/她就迈出了灾难的第一步。更不用说，就连措辞都建议在入口点进行大容量转义，这类似于非常神奇的引号功能——已经被轻视、弃用和删除。

因此，与任何“转义”不同的是，准备好的语句确实是防止SQL注入的措施（如果适用）。

使用PDO和准备好的查询。

（$conn是PDO对象）

$stmt = $conn->prepare("INSERT INTO tbl VALUES(:id, :name)");
$stmt->bindValue(':id', $id);
$stmt->bindValue(':name', $name);
$stmt->execute();