如何用PHP编写代码有效预防SQL注入：实战示例详解与代码展示

在Web开发中，SQL注入是一种常见的攻击手段，它允许攻击者通过在输入数据中注入恶意SQL代码，从而非法访问或篡改数据库。为了防止SQL注入，PHP提供了一些安全措施。下面，我将通过实战示例来详细介绍如何用PHP编写代码有效预防SQL注入。

1. 使用预处理语句和参数绑定

预处理语句（Prepared Statements）和参数绑定是防止SQL注入最有效的方法之一。它们可以确保用户输入被当作数据而非SQL代码执行。

示例代码：

<?php
// 创建数据库连接
$mysqli = new mysqli("localhost", "username", "password", "database");

// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

// 预处理SQL语句
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");

// 绑定参数
$stmt->bind_param("ss", $username, $password);

// 设置参数
$username = $_POST['username'];
$password = $_POST['password'];

// 执行查询
$stmt->execute();

// 获取结果
$result = $stmt->get_result();
?>

在这个例子中，我们使用了预处理语句来查询用户信息。通过使用问号（?）作为占位符，并将用户输入绑定到这些占位符，我们确保了用户输入被当作数据处理。

2. 使用mysqli_real_escape_string()函数

对于一些简单的查询，我们可以使用mysqli_real_escape_string()函数来转义特殊字符，从而防止SQL注入。

示例代码：

<?php
// 创建数据库连接
$mysqli = new mysqli("localhost", "username", "password", "database");

// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

// 获取用户输入
$username = $_POST['username'];
$password = $_POST['password'];

// 转义特殊字符
$username = $mysqli->real_escape_string($username);
$password = $mysqli->real_escape_string($password);

// 执行查询
$result = $mysqli->query("SELECT * FROM users WHERE username = '$username' AND password = '$password'");

// 处理结果
if ($result->num_rows > 0) {
    // 用户存在
    // ...
} else {
    // 用户不存在
    // ...
}
?>

在这个例子中，我们使用了mysqli_real_escape_string()函数来转义用户输入的特殊字符，从而避免了SQL注入。

3. 使用ORM（对象关系映射）框架

ORM框架可以帮助我们避免直接编写SQL语句，从而降低了SQL注入的风险。

示例代码：

<?php
// 创建数据库连接
$mysqli = new mysqli("localhost", "username", "password", "database");

// 检查连接
if ($mysqli->connect_error) {
    die("连接失败: " . $mysqli->connect_error);
}

// 使用ORM框架
$User = new User();
$User->username = $_POST['username'];
$User->password = $_POST['password'];

// 查询用户信息
$User->find();

// 处理结果
if ($User->exists()) {
    // 用户存在
    // ...
} else {
    // 用户不存在
    // ...
}
?>

在这个例子中，我们使用了ORM框架来查询用户信息。通过将SQL语句封装在框架内部，我们避免了直接编写SQL代码，从而降低了SQL注入的风险。

总结

通过使用预处理语句、参数绑定、mysqli_real_escape_string()函数和ORM框架，我们可以有效地预防SQL注入。在实际开发中，我们应该尽量使用这些方法来保护我们的应用程序。