要防止PHP数据库连接中的SQL注入,可以采取以下措施:
例如,使用MySQLi扩展进行预处理语句操作:
$mysqli = new mysqli("localhost", "username", "password", "database");
$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $password);
$username = "exampleUser";
$password = "examplePassword";
$stmt->execute();
$stmt->close();
$mysqli->close();
filter_var()
,可以有效地防止SQL注入。例如:
$username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);
$password = filter_var($_POST['password'], FILTER_SANITIZE_STRING);
例如,如果你的PHP应用程序只需要从数据库中读取数据,不要授予它写入权限。
更新和维护软件:保持PHP、数据库管理系统和其他相关软件更新至最新版本。软件更新通常包含安全补丁,可以修复已知的漏洞。
错误处理:不要在生产环境中显示详细的错误信息,因为这可能会向攻击者泄露有关数据库结构和配置的敏感信息。使用自定义错误处理程序来记录错误,并向用户显示通用错误消息。
通过遵循以上措施,可以大大降低PHP数据库连接中SQL注入的风险。