要防止 sql 注入攻击，php 开发人员应：使用预处理语句或参数化查询来绑定参数。对所有用户输入的数据进行转义。验证和过滤用户输入，例如使用正则表达式。使用白名单限制允许输入数据库的值。限制数据库权限到最小必要级别。

如何防止 SQL 注入攻击（PHP）

SQL 注入是一种常见的网络攻击，攻击者利用精心构造的查询语句，将恶意代码注入到数据库中。为了防止此类攻击，PHP 开发人员应采取以下措施：

使用预处理语句

预处理语句允许程序员将查询参数绑定到语句中，从而防止攻击者篡改查询。以下示例演示如何使用预处理语句：

$stmt = $conn->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bind_param("s", $username);
$stmt->execute();

转义参数

在使用字符串拼接来构建查询时，务必对所有用户输入的数据进行转义。例如，在 MySQL 中，可以使用 mysqli_real_escape_string() 函数：

$username = mysqli_real_escape_string($conn, $username);

使用参数化查询

参数化查询与预处理语句类似，但无需显式绑定参数。它们使用占位符来表示参数，并自动转义输入：

$stmt = $conn->query("SELECT * FROM users WHERE username = '$username'");

过滤用户输入

在接受用户输入之前，验证和过滤该输入至关重要。例如，可以使用正则表达式来检查输入的格式：

if (preg_match("/^[a-zA-Z0-9]{1,20}$/", $username)) {
  // 用户名有效
} else {
  // 用户名无效
}

使用白名单

白名单是一种安全措施，它只允许特定值输入数据库。通过创建允许的字符或值的列表，可以防止攻击者注入无效数据：

$allowed_chars = "abcdefghijklmnopqrstuvwxyz0123456789";
if (strspn($username, $allowed_chars) !== strlen($username)) {
  // 用户名无效
}

限制数据库权限

将数据库权限授予最少必要的权限。非必要的权限可能会使攻击者更容易注入恶意查询：

GRANT SELECT, INSERT, UPDATE, DELETE ON database_name.* TO username@host;

通过遵循这些最佳实践，PHP 开发人员可以有效地防止 SQL 注入攻击，保护其数据库和应用程序的安全。