SQL注入(SQLi)是一种注入攻击，，可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询，使攻击者能够完全控制Web应用程序后面的数据库服务器。

攻击者可以使用SQL注入漏洞绕过应用程序安全措施；可以绕过网页或Web应用程序的身份验证和授权，并检索整个SQL数据库的内容；还可以使用SQL注入来添加，修改和删除数据库中的记录。

php如何防sql注入？

1、什么时候最易受到SQL注入攻击

当应用程序使用输入内容来构造动态SQL语句，以访问数据库时会发生SQL注入攻击

2、如何防止SQL注入

a、永远不要相信用户的输入，对用户输入进行校验，可以通过正则表达式，或限制长度，对单引号和“_”进行转换

不建议使用：//$user = htmlspecialchars(addslashes($user));

//$pwd = htmlspecialchars(addslashes($pwd));

//$yzm = htmlspecialchars(addslashes($yzm));

应使用：$user = htmlspecialchars(addslashes($user));

$pwd = htmlspecialchars(addslashes($pwd));

$yzm = htmlspecialchars(addslashes($yzm));

b、永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取

不建议使用：// $sql = "select * from user where user='$user' and pwd ='$pwd'";

应使用：$sql = "select * from user where user=? and pwd =?";

c、永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据连接$conn = @new mysqli('localhost','root','','myschool');

if($conn->connect_error){

die('连接数据库失败');

}

$conn->set_charset('utf8');

d、不要把机密的信息直接存放，加密或者HASH掉密码和敏感的信息

e、QL注入的检测方法一般是采取辅助软件或网站平台检测，软件一般采取SQL注入检测工具jsky，网站平台就有亿思，网站平台检测工具

3、php mysqli扩展之预处理

在mysqli操作中常常涉及到它的三个主要类：MYSQLI类，MYSQL_STMT类，MYSQLI_RESULT类，预处理主要利用MYSQL_STMT类完成的。

预处理是一种重要的防止SQL注入的手段，对提高网站安全性有重要意义，预处理语句的工作原理：

(1)预处理：创建SQL语句模板并发送到数据库，预留的值使用参数?标记。

例：insert into myguests(firstname,lastname,email) values (?,?,?)

(2)数据库分析，编译，对SQL语句模板执行查询优化，并存储结果不输出if ($stmt = $conn->prepare($sql)) {

$stmt -> bind_param("ss",$user,$pwd);

$stmt -> execute();

$stmt -> store_result();

//$res = $conn ->query($sql);

if ($stmt->num_rows==0) {

show_error('输入的用户名或密码错误','demo1.html');

}

$stmt -> close();

}

$conn ->close();

(3)执行，最后，将应用绑定的值传递给参数(“？”标记)，数据库执行语句，应用可以多次执行语句，如果参数的值不一样

更多PHP相关知识，请访问PHP中文网！