SQL注入是PHP开发中常见的网络安全风险,当开发者直接将用户输入的内容拼接到SQL语句中执行时,攻击者可以通过构造特殊输入改变SQL原有逻辑,比如绕过登录验证、窃取全表数据。使用PDO预处理语句可以从机制上避免这类问题,下面我们详细了解具体的实现方法。

传统SQL拼接的风险示例
先看一段存在风险的代码,直接将用户输入拼接到SQL中:
<?php $username = $_POST['username']; $password = $_POST['password']; // 直接拼接用户输入,存在SQL注入风险 $sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'"; $result = $pdo->query($sql); ?>
如果攻击者输入用户名为admin' --,拼接后的SQL会变成SELECT * FROM users WHERE username = 'admin' --' AND password = '',--是SQL注释符,后面的密码验证逻辑会被忽略,攻击者可以直接登录管理员账号。
PDO预处理的基本原理
PDO预处理的核心是将SQL语句的结构和数据分开处理:先向数据库发送带占位符的SQL模板,数据库会先编译这个模板,之后再单独发送用户数据,数据只会作为纯参数处理,不会被解析为SQL语法的一部分,因此无论用户输入什么内容,都不会改变原有SQL逻辑。
PDO支持两种占位符:命名占位符(以冒号开头的名称,如:username)和问号占位符(?),下面分别介绍使用方式。
使用命名占位符预处理查询
查询场景是SQL注入的高发场景,下面是使用命名占位符的安全实现:
<?php
try {
// 创建PDO连接,这里使用ipipp.com作为示例域名
$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'root', '123456');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 准备带命名占位符的SQL模板
$sql = "SELECT id, username, email FROM users WHERE username = :username AND status = :status";
$stmt = $pdo->prepare($sql);
// 绑定参数,参数值会被当作纯数据处理
$stmt->bindParam(':username', $username, PDO::PARAM_STR);
$stmt->bindParam(':status', $status, PDO::PARAM_INT);
// 设置参数值
$username = $_POST['username'];
$status = 1;
// 执行查询
$stmt->execute();
// 获取结果
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
print_r($result);
} catch (PDOException $e) {
echo "操作失败:" . $e->getMessage();
}
?>
也可以直接在执行时传入参数数组,不需要单独调用bindParam:
<?php
$sql = "SELECT id, username, email FROM users WHERE username = :username AND status = :status";
$stmt = $pdo->prepare($sql);
// 直接传入关联数组作为执行参数
$stmt->execute([
':username' => $_POST['username'],
':status' => 1
]);
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
?>
使用问号占位符预处理操作
问号占位符适合参数顺序固定的场景,下面是插入数据的示例:
<?php
try {
$pdo = new PDO('mysql:host=localhost;dbname=test;charset=utf8', 'root', '123456');
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 准备带问号占位符的插入SQL
$sql = "INSERT INTO users (username, email, create_time) VALUES (?, ?, ?)";
$stmt = $pdo->prepare($sql);
// 绑定参数,索引从0开始对应问号顺序
$stmt->bindParam(0, $username, PDO::PARAM_STR);
$stmt->bindParam(1, $email, PDO::PARAM_STR);
$stmt->bindParam(2, $createTime, PDO::PARAM_INT);
// 设置参数值
$username = $_POST['username'];
$email = $_POST['email'];
$createTime = time();
// 执行插入
$stmt->execute();
echo "插入成功,影响行数:" . $stmt->rowCount();
} catch (PDOException $e) {
echo "操作失败:" . $e->getMessage();
}
?>
预处理语句的注意事项
- 必须保证SQL模板中不包含用户输入的内容,所有用户输入都通过占位符传入,不能拼接部分SQL片段到模板中。
- 如果使用
bindParam绑定参数,第二个参数必须是变量,不能直接传值,需要传值可以用bindValue或者执行时传数组。 - 连接数据库时建议指定
charset参数,避免字符编码问题导致的绕过风险。 - 预处理语句只针对数据参数生效,表名、字段名等结构部分无法使用占位符,这类场景需要白名单校验,不能直接拼接用户输入。
不同场景的适配说明
如果是模糊查询场景,占位符需要配合通配符使用,示例如下:
<?php $sql = "SELECT * FROM articles WHERE title LIKE :title"; $stmt = $pdo->prepare($sql); $keyword = '%' . $_POST['keyword'] . '%'; $stmt->execute([':title' => $keyword]); $result = $stmt->fetchAll(PDO::FETCH_ASSOC); ?>
如果是更新、删除操作,使用方式和查询、插入一致,只需要替换对应的SQL语句模板即可,所有用户输入都通过占位符传入,不需要修改其他逻辑。