首页 > 营销学院 > 技术知识

php新增数据如何防注入_预处理语句参数绑定用法【教程】

唯一可靠方式是预处理语句配合参数绑定；因mysqli_real_escape_string无法覆盖数字字段、字段名等上下文，且易遗漏拼接点，而参数化可实现语法与数据彻底分离。

PHP 新增数据时防 SQL 注入，唯一可靠的方式是使用预处理语句（Prepared Statement）配合参数绑定，而不是拼接字符串或过滤函数。

为什么 `mysqli_real_escape_string` 不够用

它只对单引号、反斜杠等做转义，无法覆盖所有上下文（比如数字型字段不加引号、ORDER BY 后字段名、表名等），且一旦漏掉某处拼接就前功尽弃。真正的防护必须靠数据库层的参数分离机制。

常见错误现象：
- 用户输入 ' OR 1=1 -- 导致插入异常数据或绕过条件
- 中文、emoji 或特殊字符插入失败，报错 Incorrect string value（其实是编码没统一，但常被误认为是注入问题）

仅在 INSERT、UPDATE、SELECT 等语句中使用参数绑定才有效
表名、字段名、排序方向（ASC/DESC）不能参数化，需白名单校验
确保 MySQL 连接字符集设为 utf8mb4，否则绑定 emoji 会失败

`PDO::prepare` + `bindValue` 最简安全写法

这是最推荐的组合：类型明确、自动转义、支持命名参数，兼容性好（PHP 5.1+）。

关键点：
- bindValue 第三个参数指定类型（如 PDO::PARAM_STR、PDO::PARAM_INT），比 bindParam 更安全（不依赖变量生命周期）
- 占位符用命名式（:name）比问号（?）更易维护，尤其字段多时

$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', $user, $pass);
$stmt = $pdo->prepare('INSERT INTO users (username, email, age) VALUES (:username, :email, :age)');
$stmt->bindValue(':username', $_POST['username'], PDO::PARAM_STR);
$stmt->bindValue(':email', $_POST['email'], PDO::PARAM_STR);
$stmt->bindValue(':age', (int)$_POST['age'], PDO::PARAM_INT);
$stmt->execute();

`mysqli_prepare` 绑定参数的坑与写法

原生 mysqli 要求严格按顺序绑定，且类型码必须匹配（i、s、d、b），容易出错。

容易踩的坑：
- 忘记在 bind_param 前加 & 引用变量（PHP 7+ 仍需引用）
- 类型码写错：比如把邮箱当 i（整数）传，会导致空值或截断
- mysqli_stmt::execute() 返回 true 不代表插入成功，要检查 affected_rows

$mysqli = new mysqli('localhost', $user, $pass, 'test');
$mysqli->set_charset('utf8mb4');
$stmt = $mysqli->prepare('INSERT INTO users (username, email, age) VALUES (?, ?, ?)');
$username = $_POST['username'];
$email = $_POST['email'];
$age = (int)$_POST['age'];
$stmt->bind_param('ssi', $username, $email, $age);
$stmt->execute();
if ($stmt->affected_rows === 0) {
    // 插入失败，可能是唯一键冲突或字段超长
}