PHP常见的SQL防注入方法

利用Mysqli和PDO

产生原因主要就是一些数据没有经过严格的验证，然后直接拼接 SQL 去查询。导致漏洞产生，比如：

因为没有对 $_GET['id'] 做数据类型验证，注入者可提交任何类型的数据，比如 " and 1= 1 or " 等不安全的数据。如果按照下面方式写，就安全一些。

把 id 转换成 int 类型，就可以去掉不安全的东西。

验证数据

防止注入的第一步就是验证数据，可以根据相应类型进行严格的验证。比如 int 类型直接同过 intval 进行转换就行：

字符处理起来比较复杂些，首先通过 sprintf 函数格式话输出，确保它是一个字符串。然后通过一些安全函数去掉一些不合法的字符，比如：

//也可以用 mysqli_real_escape_string　函数替代addslashes这样处理以后会比较安全。当然还可以进一步去判断字符串长度，去防止「缓冲区溢出攻击」比如：

参数化绑定

参数化绑定，防止 SQL 注入的又一道屏障。php MySQLi 和 PDO 均提供这样的功能。比如 MySQLi 可以这样去查询：

PDO 的更是方便，比如：

我们多数使用 php 的框架进行编程，所以最好不要自己拼写 SQL，按照框架给定参数绑定进行查询。遇到较为复杂的 SQL 语句，一定要自己拼写的时候，一定要注意严格的判断。没有用 PDO 或者 MySQLi 也可以自己写个 prepared，比如 wordprss db 查询语句，可以看出也是经过严格的类型验证。

总结

安全性很重要，也可以看出一个人基本功，项目漏洞百出，扩展性和可维护性再好也没有用。平时多留意，树立安全意识，养成一种习惯，一些基本的安全当然也不会占用用 coding 的时间。

养成这个习惯，即便在项目急，时间短的情况一下，依然可以做的质量很高。不要等到自己以后负责的东西，数据库都被拿走了，造成损失才重视。

虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入，还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。

当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。

另外对于php手册中get_magic_quotes_gpc的举例：

最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下。

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：mysql_real_escape_string 考虑到连接的

当前字符集，而mysql_escape_string 不考虑。

总结一下：

addslashes() 是强行加；

mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；

mysql_escape_string不考虑连接的当前字符集。

看完本文有收获？点赞、分享是最大的支持！