PHP和SQL是開發(fā)網(wǎng)站常用的技術(shù)，其中SQL用于操作數(shù)據(jù)庫，經(jīng)常涉及數(shù)據(jù)的查詢和修改，但同時(shí)也存在著安全風(fēng)險(xiǎn)，如SQL注入攻擊。為了防止SQL注入攻擊，需要使用防注入函數(shù)。
注入攻擊是指攻擊者通過在輸入框、URL等處注入惡意代碼，來攻擊數(shù)據(jù)庫系統(tǒng)，以達(dá)到獲取機(jī)密數(shù)據(jù)、修改數(shù)據(jù)等目的。假設(shè)有一個(gè)簡(jiǎn)單的登陸系統(tǒng)，用戶名和密碼存儲(chǔ)在數(shù)據(jù)庫中，攻擊者試圖通過注入代碼來獲取某個(gè)用戶的密碼。

php
$username = $_POST['username'];
$password = $_POST['password'];
$sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($conn, $sql);
if(mysqli_num_rows($result) > 0){
echo "登陸成功";
}else{
echo "登陸失敗";
}

上面的代碼在輸入框中獲取用戶名和密碼，并使用SELECT語句查詢數(shù)據(jù)庫。攻擊者可以在輸入框中注入惡意代碼，例如在用戶名處輸入admin'; DROP DATABASE test;--等語句，這會(huì)導(dǎo)致SQL語句變成以下形式：

sql
SELECT * FROM users WHERE username='admin'; DROP DATABASE test; --' AND password='xxx'

其中--表示注釋，導(dǎo)致惡意代碼被忽略，而整個(gè)語句變成了刪除數(shù)據(jù)庫的操作。為了防止這類注入攻擊，可以使用PHP的預(yù)處理語句和參數(shù)綁定。

php
$username = $_POST['username'];
$password = $_POST['password'];
$stmt = $conn->prepare("SELECT * FROM users WHERE username=? AND password=?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();
if(mysqli_num_rows($result) > 0){
echo "登陸成功";
}else{
echo "登陸失敗";
}

上面的代碼將查詢語句轉(zhuǎn)為預(yù)處理語句，使用參數(shù)綁定bind_param()將變量綁定到查詢語句中。即使攻擊者在輸入框中注入代碼，也只會(huì)成為普通的字符串，不會(huì)被執(zhí)行。這有效的防止了SQL注入攻擊。
除了預(yù)處理語句和參數(shù)綁定，PHP還提供了一些防注入函數(shù)。例如：
1.mysqli_real_escape_string()：對(duì)字符串中的特殊字符進(jìn)行轉(zhuǎn)義。
2.htmlspecialchars()：對(duì)HTML標(biāo)簽進(jìn)行轉(zhuǎn)義，防范 XSS 攻擊。
3.filter_var()：過濾輸入，例如輸入的電子郵件地址是否合法、密碼是否符合要求等。

php
$username = $_POST['username'];
$password = mysqli_real_escape_string($conn, $_POST['password']);
$sql = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($conn, $sql);
if(mysqli_num_rows($result) > 0){
echo "登陸成功";
}else{
echo "登陸失敗";
}

上述代碼使用mysqli_real_escape_string()函數(shù)對(duì)密碼字符串進(jìn)行轉(zhuǎn)義，可以有效的防止SQL注入攻擊。
總之，在開發(fā)網(wǎng)站時(shí)，必須要注意代碼的安全性，防范SQL注入攻擊。除了使用預(yù)處理語句和參數(shù)綁定，防注入函數(shù)也是非常有效的防御手段。