首页 > 文章 > php教程

PHP防SQL注入：预处理语句使用技巧

时间：2026-04-20 19:09:58 419浏览收藏

本文深入剖析了PHP预处理语句在防范SQL注入中的核心原理与常见误区，强调预处理仅能安全处理动态参数值（需严格通过绑定传入，禁用任何字符串拼接），而对表名、字段名、排序子句等SQL结构部分完全无效——这些必须依赖白名单校验、强制类型转换或映射机制；同时厘清了PDO中PARAM_STR与PARAM_INT的本质区别在于底层数据传输类型而非简单转义，错误使用将导致索引失效、隐式转换失败甚至查询报错；还指出获取自增ID必须调用语句级的mysqli_stmt_insert_id()而非连接级函数，以避免并发干扰。一句话：预处理不是万能盾牌，真正的安全源于对“值”与“结构”的分层防御意识。

PHP预处理语句怎么用_PHP防止SQL注入方法【技巧】

为什么 `mysqli_prepare()` 不能直接拼接变量

因为预处理语句的参数占位符（? 或命名占位符）在服务端解析时才绑定值，SQL 结构早已固定。一旦你用字符串拼接把变量塞进 SQL 字符串里，就绕过了预处理机制，等于白写。

常见错误现象：mysqli_prepare($conn, "SELECT * FROM users WHERE id = $id") —— 这根本没走预处理，$id 被直接插进去，mysqli_stmt_bind_param() 根本没机会生效。

正确做法：SQL 字符串里只出现 ?，所有动态值通过 mysqli_stmt_bind_param() 单独传入
命名占位符（如 :name）需用 PDO，mysqli 原生不支持
注意类型字符必须匹配：i（整数）、s（字符串）、d（浮点）、b（BLOB）

`PDO::prepare()` 绑定参数时 `PDO::PARAM_STR` 和 `PDO::PARAM_INT` 有什么区别

区别不在“转义”或“过滤”，而在底层数据类型传递方式和 MySQL 协议对字段类型的预期。错用会导致隐式转换失败、索引失效甚至报错 HY093。

使用场景：比如 WHERE status = ?，如果 status 是 TINYINT 字段，传 PDO::PARAM_STR 可能让 MySQL 拒绝使用索引；反过来，对 VARCHAR 字段传 PDO::PARAM_INT 会触发字符串截断或报错。

PDO::PARAM_STR：按字符串发送，MySQL 自行尝试转换（不推荐依赖）
PDO::PARAM_INT：以整型二进制格式发送，避免字符串解析开销，也更安全
没有 PDO::PARAM_BOOL，布尔值要转成 int 再传
批量插入时，类型不一致容易导致某条语句失败而其余成功，难排查

执行 `mysqli_stmt_execute()` 后怎么拿到自增 ID

不能用 mysqli_insert_id($conn)，必须用 mysqli_stmt_insert_id($stmt)。因为 mysqli_insert_id() 读的是连接级状态，而预处理语句可能复用连接、跨事务，或者被其他查询干扰。

常见错误现象：多线程/并发环境下，A 语句刚插入，B 语句立刻调 mysqli_insert_id()，结果拿到的是 B 的 ID 或 0。

必须在 mysqli_stmt_execute($stmt) 成功后，立即调 mysqli_stmt_insert_id($stmt)
该函数只对 INSERT / REPLACE 有效，UPDATE 或无自增字段返回 0
如果用了事务，insert_id 在 COMMIT 前就已确定，不会因回滚改变

预处理语句真的能防所有 SQL 注入吗

不能。它只防「参数值」注入，对「结构层」变动完全无效。比如表名、字段名、ORDER BY 子句、LIMIT 偏移量，都不能用 ? 占位。

典型翻车场景：$sql = "SELECT * FROM {$table} WHERE id = ?"，哪怕后面绑了参数，$table 仍是注入点；又比如 "ORDER BY {$sort_field}"，用户传 name ASC, (SELECT password FROM users LIMIT 1) 就直接脱库。