php+MySQL防止sql注入

1、使用预处理语句（Prepared Statements）：预处理语句能够防止攻击者利用用户输入来篡改SQL语句，同时也能提高执行效率。通过将用户的输入参数与SQL语句分离，确保参数以安全的方式传递给数据库引擎，避免拼接SQL语句时可能引发的注入问题。预处理语句可以使用PDO或mysqli等扩展库来实现。 

下面分别介绍两种方式的写法。 使用PDO时的预处理语句写法：

// 创建数据库连接
$dsn = 'mysql:host=localhost;dbname=mydatabase';
$username = 'myusername';
$password = 'mypassword';
$options = array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION
);
try {$pdo = new PDO($dsn, $username, $password, $options);
} catch(PDOException $e) {echo '数据库连接失败：' . $e->getMessage();exit;
}
// 准备预处理语句
$sql = 'INSERT INTO users (username, email) VALUES (:username, :email)';
$stmt = $pdo->prepare($sql);
// 绑定参数
$stmt->bindParam(':username', $username);
$stmt->bindParam(':email', $email);
// 设置参数的值
$username = 'john';
$email = 'john@example.com';
// 执行预处理语句
$stmt->execute();

使用mysqli时的预处理语句写法：

// 创建数据库连接
$servername = 'localhost';
$username = 'myusername';
$password = 'mypassword';
$dbname = 'mydatabase';
$conn = new mysqli($servername, $username, $password, $dbname);
// 检查连接是否成功
if ($conn->connect_error) {die('数据库连接失败：' . $conn->connect_error);
}
// 准备预处理语句
$sql = 'INSERT INTO users (username, email) VALUES (?, ?)';
$stmt = $conn->prepare($sql);
// 绑定参数
$stmt->bind_param('ss', $username, $email);
// 设置参数的值
$username = 'john';
$email = 'john@example.com';
// 执行预处理语句
$stmt->execute();
$stmt->close();
$conn->close();

以上是使用PDO和mysqli的预处理语句写法示例。预处理语句通过绑定参数的方式将数据与SQL语句分离，确保数据在传递到数据库时被正确地转义和处理，有效地防止了SQL注入攻击。

2、对用户输入进行过滤和验证：对于用户输入的数据，在插入到数据库之前，应该进行过滤和验证。可以使用过滤函数（如filter_var()函数）对输入进行过滤，确保只接受符合预期的数据类型和格式。此外，还可以使用正则表达式或自定义的过滤规则进行更细粒度的验证。

3、使用参数化查询：在拼接SQL语句时，应该使用参数化查询的方法，将需要插入到SQL语句中的数据作为参数传递。具体来说，可以使用绑定参数的方式，将数据与SQL语句分离，确保数据在传递到数据库时被正确地转义和处理。

4、编码转义：在将用户输入插入到SQL查询中之前，需要对特殊字符进行编码转义，确保它们不会被误解为SQL语句的一部分。可以使用相应的转义函数（如mysqli_real_escape_string()）来对字符串进行转义处理，或者使用PDO的预处理语句中的绑定参数功能。

5、最小权限原则：在连接数据库时，使用有限的数据库用户权限，仅授予必要的数据库操作权限，避免在应用中直接使用超级管理员账号连接数据库。这样即使发生SQL注入攻击，攻击者也只能执行受限的操作。

6、日志记录和监控：记录应用程序的访问日志和数据库操作日志，并设置监控机制来检测异常的数据库查询或响应，及时发现和阻止潜在的攻击。