如何在MySQL语句中安全地嵌入PHP变量？

在MySQL语句中嵌入PHP变量

使用PHP变量增强SQL语句可以动态生成查询。以下是您遇到的问题：

$type = 'testing';
mysql_query("INSERT INTO contents (type, reporter, description) 
     VALUES($type, 'john', 'whatever')");

为了解决此错误，请遵循以下指南：

1. 使用预处理语句

对于在语句中表示SQL文字（字符串、数字）的任何变量，这都是强制性的。以下是工作流程：

• 使用占位符：在SQL查询中将变量替换为占位符。
• 准备查询：在数据库连接对象上使用prepare()方法。
• 绑定变量：使用bind_param()将占位符与变量值关联。
• 执行查询：使用execute()执行预处理查询。

在mysqli中（PHP 8.2 ）：

$type = 'testing';
$reporter = "John O'Hara";
$description = 'whatever'; //添加了description变量
$sql = "INSERT INTO contents (type,reporter,description) VALUES (?,?,?)"; //修改了占位符数量
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("sss", $type, $reporter, $description); //修改了参数类型和数量
$stmt->execute();

在mysqli中（较旧的PHP版本）：

$type = 'testing';
$reporter = "John O'Hara";
$description = 'whatever'; //添加了description变量
$sql = "INSERT INTO contents (type,reporter,description) VALUES (?,?,?)"; //修改了占位符数量
$stmt = $mysqli->prepare($sql);
$stmt->bind_param("sss", $type, $reporter, $description); //修改了参数类型和数量
$stmt->execute();

在PDO中：

$type = 'testing';
$reporter = "John O'Hara";
$description = 'whatever'; //添加了description变量
$sql = "INSERT INTO contents (type,reporter,description) VALUES (?,?,?)"; //修改了占位符数量
$stmt = $pdo->prepare($sql);
$stmt->execute([$type, $reporter, $description]); //修改了参数数量

2. 实现白名单过滤

对于关键字、标识符或运算符等查询部分，请使用白名单方法。通过预定义的允许值列表过滤这些变量：

$orderby = $_GET['orderby'] ?? "name"; // 使用 null 合并运算符
$allowed = ["name", "price", "qty"];
if (!in_array($orderby, $allowed, true)) { // 使用 in_array 进行更简洁的检查
    throw new InvalidArgumentException("无效的字段名称");
}

确保根据数据库语法正确格式化标识符（例如，MySQL的反引号）。然后，安全地将此变量包含在SQL字符串中：

$query = "SELECT * FROM `table` ORDER BY `{$orderby}` $direction"; // 使用大括号避免变量名冲突

通过使用预处理语句和白名单过滤，您可以有效地防止SQL注入攻击，并安全地将PHP变量集成到您的MySQL查询中。 请注意，mysql_query 函数已被弃用，建议使用 mysqli 或 PDO。 代码示例已更新以反映这一点，并修复了原始示例中的错误。

以上是如何在MySQL语句中安全地嵌入PHP变量？的详细内容。更多信息请关注PHP中文网其他相关文章！