PHP MySQL 防注入技巧：25字详解。（phpmysql防注入）

MySQL防注入是网站开发中最重要的一环，它需要程序员采用正确的技巧来保护网站免受SQL注入的攻击。本文将着重介绍PHP MySQL实现防注入的25个技巧，详细解析此技巧的正确使用方法，以供程序员参考。

第一，编写原始的SQL语句，不要使用高级的数据库语言，避免被攻击者通过高级语言制作攻击脚本。比如使用以下语句：

$sql = “select * from users where username=””.$username.”””

第二，确保MySQL数据库用户只有往指定表插入数据的权限，这样可以防止用户进行部分注入。

第三，只使用客户端与服务器之间的API来传递参数，而不要使用明文传输，以防被窃取用户数据。

第四，严格禁止特殊字符，特殊字符可以被攻击者用来输入非法字符并且会破坏SQL语句。此外还应对提交的表单数据进行严格的过滤。

第五，使用mysql_real_escape_string函数，这可以有效地阻止注入攻击，代码如下：

$username = mysql_real_escape_string($_POST[“username”]);

第六，应当使用变量代替特殊字符参与SQL查询，这样可以有效地保证SQL语句的安全。

第七，MySQL可以使用Prepared Statement和Prepare字段来提高安全性，代码如下：

$stmt = $mysqli->prepare(“SELECT * FROM users WHERE username=?”);

$stmt->bind_param(“s”.$username);

$stmt->execute();

第八，禁止使用MySQL数据库的拼接注入，就是在没有进行转义和过滤的参数直接拼接到SQL语句，这种技术非常危险。

第九，使用ADD SLASHES 函数过滤特殊字符，以阻止注入攻击，代码如下：

$username = addslashes($_POST[“username”]);

第十，MySQL数据库应当使用SSL加密技术，以防止数据被窃取，代码如下：

mysqli_ssl_set($conn, $key_file, $cert_file, $ca_file);

第十一，禁止使用MySQL存储存储过程，存储过程本身可能存在安全风险，有可能被攻击者用来构造SQL语句。

第十二，使用正则表达式进行验证，这一步可以有效地确保提交的表单数据没有包含非法字符。

第十三，禁止使用动态SQL语句，动态SQL语句容易被攻击者用来伪造参数，从而导致SQL注入攻击。

第十四，使用MySQL SET命令和ON DUPLICATE KEY UPDATE语句，这可以有效过滤提交的数据，并且可以有效限制SQL查询。

第十五，MySQL用户只应允许访问数据库中指定表，以免恶意程序员进入系统。

以上所有技巧，综合起来就可以有效的抵御MySQL的SQL注入攻击，确保网站的安全性。只要按照这些技巧正确实施，用户就能保证数据库安全不被窃取。