预处理语句是防止 SQL 注入攻击的最有效方法之一。使用预处理语句可以将 SQL 语句和参数分离开来,从而避免恶意用户通过参数注入恶意代码。
以下是一个使用预处理语句的示例:
php
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
$stmt->execute(['username' => $username]);
$user = $stmt->fetch();
在上面的示例中,我们使用 PDO 的 prepare 方法来创建一个预处理语句。我们将参数使用占位符 :username 来代替。在执行语句之前,我们将参数放在一个数组中,然后使用 execute 方法来执行语句。这样就可以避免 SQL 注入攻击。
除了使用预处理语句之外,我们还可以对输入数据进行过滤。PHP 提供了一些内置函数来过滤输入数据,例如:filter_var、filter_input、filter_input_array 等。
以下是一个使用 filter_var 函数的示例:
php $username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);
在上面的示例中,我们使用 filter_var 函数来对 $_POST['username'] 进行过滤,使用 FILTER_SANITIZE_STRING 过滤器来删除所有 HTML 标签,以及字符集编码中非法的字符。
PDO 是 PHP 中一个强大的数据库抽象层,它可以帮助我们更方便地与数据库交互。PDO 使用参数绑定来防止 SQL 注入攻击。
以下是一个使用 PDO 的示例:
php
$dsn = 'mysql:host=localhost;dbname=test';
$username = 'root';
$password = '';
$options = [
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
PDO::ATTR_EMULATE_PREPARES => false,
];
$pdo = new PDO($dsn, $username, $password, $options);
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = ?');
$stmt->execute([$username]);
$user = $stmt->fetch();
在上面的示例中,我们使用 PDO 的 prepare 方法来创建一个预处理语句。我们将参数使用 ? 来代替。在执行语句之前,我们将参数放在一个数组中,然后使用 execute 方法来执行语句。这样就可以避免 SQL 注入攻击。