如何防止 SQL 注入？

在動態構造 SQL 查詢的情況下，請替換所有 SQL 特殊字元。

使用儲存過程執行任何查詢。 SQL引數的傳遞方式將防止攻擊者使用單引號和連字元進行攻擊。 此外，資料庫許可權可以限制為僅特定的儲存過程，因此很難使注入攻擊變得困難。

限制表單或查詢字串輸入的長度或對其進行加密。 如果使用者的登入名最多只有 10 個字元，則不接受表單中輸入的超過 10 個字元，這將大大增加攻擊者在 SQL 命令中插入有害 ** 的難度。

檢查使用者輸入的合法性，並確保輸入僅包含合法資料。 資料檢查應在客戶端和伺服器端執行 - 執行伺服器端驗證以補償客戶端驗證機制的弱安全性。

加密和儲存使用者登入名、密碼和其他資料。

6）限制用於執行查詢的資料庫帳戶的許可權。使用不同的使用者帳戶執行查詢、插入、更新、刪除操作。 通過隔離不同帳戶可以執行的操作，它可以防止使用 SELECT 命令來執行插入、更新或刪除命令。

使用引數。 不要使用烤串。

對於儲存過程，傳遞引數沒有問題。

通常，使用儲存過程是可以的。

找乙個專業的團隊或公司為你解決問題。

所有 GET 請求以及 POST 請求都會過濾非法字元的輸入。 '分號篩選 -- 篩選 %20 特殊字元篩選、單引號篩選、百分比符號、<>和篩選、製表符鍵值和其他安全篩選。 如果對**了解不多，建議找專業的**安防公司來處理，國內的SINE安防、綠盟科技、啟明星辰，都是比較不錯的安防公司。

1. 篩選出一些常見的資料庫操作關鍵字：select、insert、update、delete、and、*等。

或者你可以使用系統函式：addslashes（需要過濾的內容）。

2. 在 PHP 配置檔案中。

register_globals=off;設定為“關閉”操作將註冊全域性變數 off。

例如，接收帖子窗體的值為 $ post['user']， if register globals=on;直接使用 $user 來接收表單的值。

3. 編寫 SQL 語句時盡量不要省略小引號（Tab 鍵上方的引號）和單引號。

4、提高資料庫命名技巧，根據程式特點命名一些重要字段，取那些不容易猜到的字段。

5. 封裝常用方法，避免SQL語句直接洩露。

6. 開啟PHP安全模式。

safe_mode=on;

7. 開啟 Magic Quotes GPC 以防止 SQL 注入。

magic_quotes_gpc=off;預設關閉，開啟時會自動轉換使用者提交的SQL語句查詢'轉到'，這對防止SQL注入有顯著作用。

依此類推：魔術報價 gpc=on;

8. 控制錯誤訊息。

禁用錯誤訊息並將錯誤訊息寫入系統日誌。

9. 使用 MySQLI 或 PDO 預處理。

輸入引數嚴格限制格式、大小、合理性和特殊字元。

SQL注入在SQL中並不是乙個無法解決的問題，這種攻擊方式的存在也不能完全歸咎於SQL語言。 首先，我在其他答案中提出了乙個觀點：沒有編譯，沒有注入。

SQL注入的原因與堆疊溢位、XSS等許多其他攻擊方式類似，即未經檢查或檢查不充分的使用者輸入資料被意外執行。 對於SQL注入，使用者提交的資料由資料庫系統編譯，開發者沒有預料到。 換句話說，SQL注入是使用者輸入的資料，在拼接SQL語句的過程中，它超越了資料本身，成為SQL語句查詢邏輯的一部分，然後以這種方式拼接的SQL語句被資料庫執行，從而產生開發者意想不到的動作。

因此，防止上述型別攻擊的根本手段是避免資料被執行，並始終區分資料與資料之間的界限。 就SQL注入而言，執行的惡意**是由資料庫的SQL解釋引擎編譯的，因此只要避免使用者輸入的資料被資料庫系統編譯即可。

現在的資料庫系統提供了SQL語句的預編譯（準備）和查詢引數繫結的功能，並在SQL語句中放置佔位符'?'，然後將帶有佔位符的 SQL 語句傳遞給資料庫編譯器，然後才在執行時將使用者輸入的資料作為執行引數傳遞給使用者。 這個操作不僅讓SQL語句在寫入時不再需要拼接，而且看起來更直接，使用者輸入的資料沒有機會被傳送到資料庫的SQL直譯器進行編譯和執行，也不會變得**越權。

至於為什麼不使用這種引數化查詢方式作為預設方式，我認為除了相容舊系統之外，直接使用SQL確實方便，並且有一定的使用場合。

再補充一點，從**的角度來看，拼接SQL語句的做法也是不合適的。

SQL注入：利用現有應用程式將（惡意）SQL命令注入後端資料庫引擎執行的能力，這是SQL注入的標準定義。