PHP 开发中有效防御 SQL 注入攻击有哪些好方法？

回复内容：

没有编译就没有注入，避免提交上来的数据被编译就可以了，参数绑定就是避免提交数据被编译的方法。 使用PDO或者MySQLi，有很多封装好的方便的Class。
例如使用PHP-PDO-MySQL-Class · GitHub（这个Class使用上比较类似Python的MySQLdb）的话，这样就是安全的：

<span class="cp"><?php</span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM fruit WHERE name IN (?)"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm1'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pm2'</span><span class="p">]));</span>
<span class="nv">$DB</span><span class="o">-></span><span class="na">query</span><span class="p">(</span><span class="s2">"SELECT * FROM users WHERE name=? and password=?"</span><span class="p">,</span><span class="k">array</span><span class="p">(</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'name'</span><span class="p">],</span><span class="nv">$_GET</span><span class="p">[</span><span class="s1">'pw'</span><span class="p">]));</span>
<span class="cp">?></span><span class="x"></span>

防SQL注入最好的方法就是千万不要自己拼装SQL命令和参数, 而是用PDO的prepare和bind.
原理就在于要把你的SQL查询命令和传递的参数分开:
> prepare的时候, DB server会把你的SQL语句解析成SQL命令.
> bind的时候, 只是动态传参给DB Server解析好的SQL命令.

其他所有的过滤特殊字符串这种白名单的方式都是浮云. 仅仅防止sql注入的话，使用mysqli或者PDO的预编译就行了。用框架的话，要留意框架内部是怎么处理的。拼接sql语句这种做法早就该进历史的垃圾堆了。

此外PDO的预编译有个bug，在5.3.6之前还是会默认调用mysql_*进行拼接，需要设置$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);。 prepare && bind 一下即可。 简单来说，仅仅对于PHP程序的SQL注入，对输入输出的数据进行安全过滤是最主要的方法。
当然说起来简单，真正要做到很复杂，要考虑的细节和因素很多，包括编码、类型、前后逻辑等等，一个处理不慎，反而会弄巧成拙。
因此要做到程序尽可能的安全，需要程序员具有一定的安全意识和知识，从程序的最底层构建上就把安全因素考虑进去。
个人认为国内PHP安全圈的水准还是相当高的，各方面的资料也很多，推荐两个网站，里面有很多相关的资料，有兴趣的可以参考学习下：
http://80vul.com
http://bbs.wolvez.org 一律不能直接使用外来的参数，不要直接构造查询语句，使用statement进行参数填充等等 1、不要随意开启生产环境中Webserver的错误显示。
2、永远不要信任来自用户端的变量输入，有固定格式的变量一定要严格检查对应的格式，没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的SQL语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。

来自 「Web安全之SQL注入攻击技巧与防范」。 给两个办法，匈牙利命名法、注入尝试探测

别瞧不起匈牙利命名法，这货的原意可不是你以为的傻瓜一样在变量名后加上类型名。真正的做法是：未做escape过滤的字符串命令按照你自己的习惯命名，escape后的字符串加上类似_f或_ss这样的suffix。习惯后在写代码的时候自然就会要求传入的字符串都是过滤过的。

注入尝试探测则比较简单：作为黑客来说如果需要进行攻击，会进行多次注入尝试，期间几乎可以肯定会构造出一个无效的sql语句，执行时就会报错了。自己写个数据库的query函数进行封装，如果发现有执行无效的sql语句则通过邮件或其他形式进行报警。

当然…担心SQL注入，都是用拼接字符串做SQL查询的土鳖程序员。正常的程序员会去找个ORM用。 我采用的方法是：
1.对团队成员进行安全培训，找出最常见的攻击方法逐个指导代码内屏蔽方式
2.用nginx之类的反向代理进行url参数过滤，基本能挡住90%的攻击
3.对磁盘文件进行高度权限设定
4.计划任务的脚本对程序源代码定期（比如每小时）执行遍历搜索，一般水平的攻击，都逃不过这个排查
5.对nginx过滤出的危险url进行程序自动分析，对于超过阈值的ip直接防火墙屏蔽