MySQL是一種廣泛使用的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)，然而，它并非完全安全，如若不小心，就會(huì)遭受SQL注入攻擊。這種攻擊是通過(guò)將非法的SQL語(yǔ)句嵌入到原本允許的查詢中，獲得非法訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限。

舉例來(lái)說(shuō)，假如有一個(gè)登錄的表單，用戶輸入用戶名和密碼后會(huì)將這些信息傳遞給后臺(tái)服務(wù)器，并在數(shù)據(jù)庫(kù)中查找該用戶的信息。正常情況下，允許使用如下的SQL查詢語(yǔ)句：

SELECT * FROM users WHERE username = '$_POST[username]' AND password = '$_POST[password]';

但是，如果攻擊者在用戶名或者密碼輸入框中輸入如下語(yǔ)句：

'OR 1=1--

那么，上述查詢語(yǔ)句就會(huì)變成：

SELECT * FROM users WHERE username = '' OR 1=1--' AND password = '$_POST[password]';

由于1=1這個(gè)條件永遠(yuǎn)為真，那么該查詢就會(huì)返回所有已經(jīng)在數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶名，攻擊者就可以輕松地使用其中任何一個(gè)賬號(hào)進(jìn)行非法活動(dòng)。

為了避免SQL注入攻擊，我們可以使用MySQL提供的預(yù)處理語(yǔ)句機(jī)制，其安全性遠(yuǎn)高于直接拼接SQL查詢語(yǔ)句。使用預(yù)處理語(yǔ)句可以將輸入的參數(shù)和查詢語(yǔ)句分開執(zhí)行，有效防止SQL注入。

$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $_POST['username'], $_POST['password']);
$stmt->execute();

如此，即使被攻擊者輸入一些危險(xiǎn)的SQL代碼，也會(huì)在執(zhí)行預(yù)處理之前被過(guò)濾掉。