PHP MySQLI Prevent SQL Injection

可以注入任何查询，无论是读取还是写入，持久查询还是瞬态查询。可以通过结束一个查询并运行一个单独的查询（可能使用 ）来执行注入，这将使预期的查询变得无关紧要。mysqli

来自外部源的查询的任何输入，无论是来自用户还是内部输入，都应被视为查询的参数，以及查询上下文中的参数。查询中的任何参数都需要参数化。这将导致一个正确参数化的查询，您可以从中创建预准备语句并使用参数执行。例如：

SELECT col1 FROM t1 WHERE col2 = ?

?是参数的占位符。使用 ，您可以使用 创建预准备语句 ，使用 将变量（参数）绑定到参数，然后使用 运行查询。你根本不需要对论点进行消毒（事实上，这样做是有害的）。 为您做到这一点。整个过程将是：mysqlipreparebind_paramexecutemysqli

$stmt = $mysqli->prepare("SELECT col1 FROM t1 WHERE col2 = ?");
$stmt->bind_param("s", $col2_arg);
$stmt->execute();

参数化查询和预准备语句之间还有一个重要的区别。此语句虽然准备就绪，但未参数化，因此容易受到注入：

$stmt = $mysqli->prepare("INSERT INTO t1 VALUES ($_POST[user_input])");

总结一下：

• 都查询应正确参数化（除非它们没有参数）
• 查询的所有参数都应尽可能被视为恶意的，无论其来源如何