php防注入 过滤.（php 防止sql注入）

在PHP中，可以采取以下几种方法来防止SQL注入：

1. 使用预处理语句：使用PDO（PHP数据对象）或MySQLi扩展提供的预处理语句功能，可以将SQL语句和用户输入的数据分开处理，从而防止注入攻击。预处理语句会将用户输入的数据作为参数传递给SQL语句，而不是将其直接拼接到SQL语句中。

示例代码（使用PDO）：

$pdo = new PDO("mysql:host=localhost;dbname=mydb", "username", "password");

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);

$username = $_POST['username'];
$password = $_POST['password'];

$stmt->execute();

2. 使用转义函数：可以使用mysqli_real_escape_string()或PDO::quote()函数来转义用户输入的数据，确保特殊字符不会被解释为SQL语句的一部分。

示例代码（使用mysqli）：

$mysqli = new mysqli("localhost", "username", "password", "mydb");

$username = mysqli_real_escape_string($mysqli, $_POST['username']);
$password = mysqli_real_escape_string($mysqli, $_POST['password']);

$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = $mysqli->query($query);

3. 使用过滤函数：可以使用filter_var()函数对用户输入的数据进行过滤，只允许特定类型的数据通过。

示例代码：

$username = filter_var($_POST['username'], FILTER_SANITIZE_STRING);
$password = filter_var($_POST['password'], FILTER_SANITIZE_STRING);

$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = $mysqli->query($query);

无论采用哪种方法，都应该养成良好的编码习惯，始终将用户输入的数据视为不可信任的，并对其进行适当的处理和验证。同时，还应该避免使用动态拼接SQL语句的方式，而是尽量使用预处理语句或ORM（对象关系映射）框架来构建和执行SQL查询。