MySQL注入是一種常見的Web應(yīng)用程序攻擊，通過對SQL查詢語句進(jìn)行惡意修改，攻擊者可以訪問和操作無權(quán)訪問的敏感數(shù)據(jù)。此外，攻擊者可以通過這種方式破壞數(shù)據(jù)庫完整性，使其不可用。以下是如何預(yù)防MySQL注入的一些最佳實(shí)踐。

首先，應(yīng)該使用預(yù)編譯語句來執(zhí)行SQL查詢。通過預(yù)編譯查詢語句，您可以預(yù)先準(zhǔn)備參數(shù)并使用綁定參數(shù)來執(zhí)行查詢。這防止了攻擊者在查詢中注入惡意代碼。

// 使用預(yù)編譯查詢來防止注入攻擊
$id = $_GET['id'];
$stmt = $mysqli->prepare("SELECT name, email FROM users WHERE id=?");
$stmt->bind_param("i", $id);
$stmt->execute();
$result = $stmt->get_result();

其次，不要相信用戶的輸入數(shù)據(jù)，使用過濾器對輸入數(shù)據(jù)進(jìn)行驗(yàn)證和清理。過濾器允許您檢查輸入并執(zhí)行操作，例如刪除或替換不安全的字符。可以使用PHP預(yù)定義的過濾器，例如FILTER_SANITIZE_STRING和FILTER_VALIDATE_EMAIL等。

// 使用過濾器驗(yàn)證電子郵件地址
$email = $_POST['email'];
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
echo "Invalid email format";
}

最后，使用錯(cuò)誤信息處理來防止揭示數(shù)據(jù)庫詳細(xì)信息。

// 防止揭示數(shù)據(jù)庫細(xì)節(jié)
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
try {
$mysqli = new mysqli("localhost", "my_user", "my_password", "my_db");
} catch (mysqli_sql_exception $e) {
echo "Sorry, this website is experiencing problems.";
error_log($e->getMessage());
exit();
}