问PHP防止MySQLI注入

EN

任何查询都可以被注入，无论它是读还是写，是持久的还是暂时的。可以通过结束一个查询并运行一个单独的查询(可以使用mysqli)来执行注入，这会使预期的查询变得不相关。

来自外部源的任何查询输入，无论是来自用户还是来自内部，都应该被视为查询的参数，以及查询上下文中的参数。查询中的任何参数都需要参数化。这将导致正确的参数化查询，您可以从中创建准备好的语句并使用参数执行。例如：

SELECT col1 FROM t1 WHERE col2 = ?

?是参数的占位符。使用mysqli，您可以使用prepare创建预准备语句，使用bind_param将变量(实参)绑定到参数，并使用execute运行查询。您根本不需要清理参数(事实上，这样做是有害的)。mysqli为您做到了这一点。完整的流程如下：

$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();

参数化查询和准备好的语句之间还有一个重要的区别。此语句虽然已准备好，但不是参数化的，因此容易受到注入：

$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");

总结一下：

• All查询应正确参数化(除非查询没有parameters)
• All参数，否则应尽可能将其视为敌对查询，无论其源

如何