PHP防注入方法：预处理语句参数绑定教程

唯一可靠方式是预处理语句配合参数绑定；因mysqli_real_escape_string无法覆盖数字字段、字段名等上下文，且易遗漏拼接点，而参数化可实现语法与数据彻底分离。

PHP 新增数据时防 SQL 注入，唯一可靠的方式是使用预处理语句（Prepared Statement）配合参数绑定，而不是拼接字符串或过滤函数。

为什么 mysqli_real_escape_string 不够用

它只对单引号、反斜杠等做转义，无法覆盖所有上下文（比如数字型字段不加引号、ORDER BY 后字段名、表名等），且一旦漏掉某处拼接就前功尽弃。真正的防护必须靠数据库层的参数分离机制。

常见错误现象：
- 用户输入 ' OR 1=1 -- 导致插入异常数据或绕过条件
- 中文、emoji 或特殊字符插入失败，报错 Incorrect string value（其实是编码没统一，但常被误认为是注入问题）

• 仅在 INSERT、UPDATE、SELECT 等语句中使用参数绑定才有效
• 表名、字段名、排序方向（ASC/DESC）不能参数化，需白名单校验
• 确保 MySQL 连接字符集设为 utf8mb4，否则绑定 emoji 会失败

PDO::prepare + bindValue 最简安全写法

这是最推荐的组合：类型明确、自动转义、支持命名参数，兼容性好（PHP 5.1+）。

关键点：
- bindValue 第三个参数指定类型（如 PDO::PARAM_STR、PDO::PARAM_INT），比 bindParam 更安全（不依赖变量生命周期）
- 占位符用命名式（:name）比问号（?）更易维护，尤其字段多时

$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8mb4', $user, $pass);
$stmt = $pdo->prepare('INSERT INTO users (username, email, age) VALUES (:username, :email, :age)');
$stmt->bindValue(':username', $_POST['username'], PDO::PARAM_STR);
$stmt->bindValue(':email', $_POST['email'], PDO::PARAM_STR);
$stmt->bindValue(':age', (int)$_POST['age'], PDO::PARAM_INT);
$stmt->execute();

mysqli_prepare 绑定参数的坑与写法

原生 mysqli 要求严格按顺序绑定，且类型码必须匹配（i、s、d、b），容易出错。

容易踩的坑：
- 忘记在 bind_param 前加 & 引用变量（PHP 7+ 仍需引用）
- 类型码写错：比如把邮箱当 i（整数）传，会导致空值或截断
- mysqli_stmt::execute() 返回 true 不代表插入成功，要检查 affected_rows

$mysqli = new mysqli('localhost', $user, $pass, 'test');
$mysqli->set_charset('utf8mb4');
$stmt = $mysqli->prepare('INSERT INTO users (username, email, age) VALUES (?, ?, ?)');
$username = $_POST['username'];
$email = $_POST['email'];
$age = (int)$_POST['age'];
$stmt->bind_param('ssi', $username, $email, $age);
$stmt->execute();
if ($stmt->affected_rows === 0) {
    // 插入失败，可能是唯一键冲突或字段超长
}

批量插入和 NULL 值怎么安全处理

批量插入不能简单循环 prepare，应复用同一预处理对象；NULL 值必须显式绑定，不能传 null 字面量（PDO 会转成空字符串）。

• 批量插入时，每次 execute() 前只需重新绑定新值，不用重复 prepare
• 插入 NULL：用 PDO::PARAM_NULL 或传 PHP null 并确保类型为 PDO::PARAM_STR（PDO 自动识别）
• 避免用 INSERT ... ON DUPLICATE KEY UPDATE 时把用户输入直接拼进 UPDATE 子句——这部分也必须参数化

最易被忽略的一点：预处理只防注入，不防业务逻辑漏洞。比如用户能提交 status='admin' 到注册接口，即使用了 prepare，照样可能提权——参数绑定解决的是「语法注入」，不是「语义越权」。