17370845950

使用预处理语句和参数绑定可有效防止SQL注入，确保用户输入作为数据处理；推荐使用PDO预处理、存储过程及输入验证，避免SQL拼接。

在MySQL中防止SQL注入，关键在于避免将用户输入直接拼接到SQL语句中。最有效的方式是使用预处理语句（Prepared Statements）配合参数绑定。这种方式能确保用户输入被当作数据处理，而不是SQL代码的一部分。

使用预处理语句（推荐方式）

预处理语句会先将SQL模板发送给数据库解析，再传入参数值，从根本上隔离代码与数据。

$pdo = new PDO($dsn, $username, $password);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);
$user = $stmt->fetch();

$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
$stmt->bindParam(':email', $email);
$stmt->execute();

使用存储过程（Stored Procedures）

将SQL逻辑封装在数据库内部的存储过程中，调用时传参，也能减少SQL拼接风险。

DELIMITER //
CREATE PROCEDURE GetUser(IN user_id INT)
BEGIN
    SELECT * FROM users WHERE id = user_id;
END //
DELIMITER ;

调用时仍应使用预处理方式传参，避免拼接。

输入验证与过滤

虽然不能替代预处理，但合理校验输入可增加安全性。

• 对数值型字段使用类型转换（如(int)强制转整数）
• 对字符串长度、格式（邮箱、手机号）做限制
• 拒绝包含明显恶意关键字的请求（如' OR 1=1）

避免动态拼接SQL

以下写法非常危险，应禁止：

// 危险！不要这样做
$sql = "SELECT * FROM users WHERE id = " . $_GET['id'];
$pdo->query($sql);

即使做了简单过滤，仍可能被绕过。唯一可靠方案是预处理+参数绑定。

基本上就这些。只要坚持使用预处理语句，不拼接SQL，绝大多数SQL注入问题都能避免。安全编程习惯比事后修补更重要。