如何防止PHP中的 SQL 注入？

对于 PHP 中的 SQL 注入，防范措施不能缺少。下面给大家介绍一些常见的防范方法。

使用预处理语句

使用预处理语句是最常见和最有效的防止SQL注入的方法之一。预处理语句可以使用绑定参数的方法（即占位符），而不是将传递的值直接放入 SQL 查询之中。这样可以极大地减少SQL注入的可能性。

使用预处理语句的示例如下：

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->execute(array('username' => $username));
$user = $stmt->fetch();

在这段代码中，我们没有直接将 $username 放入 SQL 查询字符串中，而是使用了一个占位符 :username，并将其传递到了 execute() 方法中。这个方法将占位符 :username 替换成了真正的用户名，然后执行了查询。

对输入的数据进行过滤

在开发过程中，我们需要对输入的数据进行过滤。可以使用 filter_var() 函数，该函数可以根据指定的过滤器对输入的变量进行过滤。

例如，使用 FILTER_SANITIZE_STRING 过滤器可以过滤掉字符串中的 HTML 标记和脚本。

$username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);

使用预定义的过滤器进行过滤

PHP 提供了一些预定义的过滤器，可以用于过滤输入的数据。这些过滤器可以防止 SQL 注入攻击。

例如，可以使用 FILTER_VALIDATE_EMAIL 过滤器来验证一个输入是否为有效的电子邮件地址。示例如下：

$email = filter_input(INPUT_GET, 'email', FILTER_VALIDATE_EMAIL);

对特殊字符进行转义

将特殊字符转义是防止 SQL 注入的另一种常见方法。使用 addslashes() 函数可以实现对特殊字符的转义。该函数将通过加上反斜杠转义特殊字符，从而避免了 SQL 注入攻击。

$username = addslashes($_POST['username']);

使用ORM

ORM 是一个将对象映射到关系数据库中的技术。ORM 可以把数据库查询的结果映射到一个对象上，从而避免了 SQL 注入攻击，同时也极大的简化了 SQL 查询的过程。

例如，使用 Laravel 框架自带的 ORM，我们可以像下面这样获取数据，并且不用担心 SQL 注入攻击。

$users = DB::table('users')->where('name', $name)->get();

总结

在开发过程中必须对 SQL 注入进行足够的重视和预防。对于输入的数据需要进行过滤，使用预处理语句和预定义的过滤器可以有效的避免 SQL 注入攻击。如果你正在使用 Laravel 框架，可以使用自带的 ORM 进行开发，省去一切 SQL 注入的烦恼。