首页 > 文章 > php教程

PHP防SQL注入方法详解与代码示例

时间：2026-02-12 17:15:58 350浏览收藏

本篇文章向大家介绍《PHP防SQL注入代码示例详解》，主要包括，具有一定的参考价值，需要的朋友可以参考一下。

使用 mysqli::prepare() + bind_param() 或 PDO::prepare() + execute()（禁用模拟预处理）是最直接有效的防SQL注入方式，通过预处理机制彻底分离SQL结构与数据，从执行层面杜绝注入可能。

php代码示例如何防止sql注入_php防sql注入代码示例【示例】

用 `mysqli::prepare()` + `bind_param()` 是最直接有效的防注入方式

PHP 原生 MySQLi 扩展的预处理语句能彻底分离 SQL 结构与数据，让数据库引擎在解析阶段就拒绝恶意拼接。不是“过滤输入”，而是从执行机制上杜绝注入可能。

常见错误是只做 mysqli_real_escape_string() 或简单 str_replace()，这些对绕过型 payload（比如宽字节、十六进制编码、注释符组合）完全无效。

必须使用 prepare() 创建语句对象，再用 bind_param() 绑定变量，不能把变量直接拼进 SQL 字符串
参数类型标识要准确："s"（字符串）、"i"（整数）、"d"（浮点）、"b"（BLOB），类型不匹配可能导致绑定失败或隐式转换漏洞
注意连接字符集：确保 mysqli_set_charset($conn, 'utf8mb4') 已调用，否则宽字节注入仍可能发生

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND status = ?");
$stmt->bind_param("si", $username, $status);
$username = $_GET['user'] ?? '';
$status = (int)($_GET['active'] ?? 1);
$stmt->execute();
$result = $stmt->get_result();

PDO 的 `prepare()` + `execute()` 更灵活但要注意默认模式

PDO 默认启用模拟预处理（PDO::ATTR_EMULATE_PREPARES = true），此时 SQL 并未真正发给 MySQL，而是由 PHP 模拟参数替换——这会退化为字符串拼接，失去防护能力。

必须显式关闭模拟，并确认驱动支持原生预处理：

初始化时设置 PDO::ATTR_EMULATE_PREPARES => false
检查 $pdo->getAttribute(PDO::ATTR_CLIENT_VERSION) 和 MySQL 版本（5.1.17+ 支持完整原生预处理）
命名参数（:name）比问号占位符更易读，但底层安全等级一致

$pdo = new PDO($dsn, $user, $pass, [
    PDO::ATTR_EMULATE_PREPARES => false,
    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
]);
$stmt = $pdo->prepare("INSERT INTO logs (ip, action) VALUES (:ip, :action)");
$stmt->execute(['ip' => $_SERVER['REMOTE_ADDR'], 'action' => 'login']);