PHP数据库连接如何防止SQL注入

要防止PHP数据库连接中的SQL注入，可以采取以下措施：

1. 使用预处理语句（Prepared Statements）和参数化查询：预处理语句将查询和数据分开，数据不会直接参与到SQL语句的生成过程中。参数化查询则通过占位符代替实际数据，从而避免了恶意用户输入对SQL语句的影响。

例如，使用MySQLi扩展进行预处理语句操作：

$mysqli = new mysqli("localhost", "username", "password", "database");

$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $password);

$username = "exampleUser";
$password = "examplePassword";

$stmt->execute();

$stmt->close();
$mysqli->close();

2. 验证和过滤用户输入：在插入数据库之前，对用户提交的数据进行验证和过滤，确保数据符合预期的格式和类型。使用PHP内置的过滤函数，如filter_var()，可以有效地防止SQL注入。

例如：

$username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);
$password = filter_var($_POST['password'], FILTER_SANITIZE_STRING);

3. 使用最小权限原则：为数据库连接分配尽可能低的权限，仅够执行所需操作的最小权限。这样即使攻击者成功注入SQL语句，他们也无法执行删除或修改数据的危险操作。

例如，如果你的PHP应用程序只需要从数据库中读取数据，不要授予它写入权限。

4. 更新和维护软件：保持PHP、数据库管理系统和其他相关软件更新至最新版本。软件更新通常包含安全补丁，可以修复已知的漏洞。

5. 错误处理：不要在生产环境中显示详细的错误信息，因为这可能会向攻击者泄露有关数据库结构和配置的敏感信息。使用自定义错误处理程序来记录错误，并向用户显示通用错误消息。

通过遵循以上措施，可以大大降低PHP数据库连接中SQL注入的风险。