php防sql注入函数

1. php防止sql注入的函数介绍

具体用法

addslashes防止SQL注入

虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入 还是建议大家加强中文防止SQL注入的检查 addslashes的问题在 于黑客 可以用 xbf 来代替单引号 而addslashes只是将 xbf 修改为 xbf c 成为一个有效的多字节字符 其中的 xbf c仍会 被看作是单引号 所以addslashes无法成功拦截

当然addslashes也不是毫无用处 它是用于单字节字符串的处理 多字节字符还是用mysql_real_escape_string吧

另外对于php手册中get_magic_quotes_gpc的

举例

代码如下

<?php function post_check($post) { if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开 { $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 } $post = str_replace("_" "_" $post); // 把 _ 过滤掉 $post = str_replace("%" "%" $post); // 把 % 过滤掉 $post = nl br($post); // 回车转换 $post= specialchars($post); // 标记转换 return $post; } ?>

或

<?php function inject_check($sql_str) { return eregi( select|insert|update|delete| | function verify_id($id=null) { if (!$id) { exit( 没有提交参数！ ); } // 是否为空判断 elseif (inject_check($id)) { exit( 提交的参数非法！ ); } // 注射判碰仔肆断 elseif (!is_numeric($id)) { exit( 提交的参数非法！ ); } // 数字判断 $id = intval($id); // 整型化 return $id; } ?>

string mysql_real_escape_string ( string $unescaped_string [ resource $link_identifier ] )

本函数将 unescaped_string 中的特殊字符转义 并计及连接的笑轿当前字符集 因此可以安全用于 mysql_query()

Note: mysql_real_escape_string() 并不转义 % 和 _

mysql_real_escape_string

Example# mysql_real_escape_string() 例子

代码如下

<?php $item = "Zak s and Derick s Laptop" ; $escaped_item = mysql_real_escape_string ( $item ); printf ( "Escaped string: %sn" $escaped_item ); ?>

以上例子将产生如下输出

Escaped string: Zak s and Derick s Laptop

mysql_escape_string

本函数将 unescaped_string 转义 使之可以安全用于 mysql_query()

注: mysql_escape_string() 并不转义 % 和 _

本函数和 mysql_real_escape_string() 完全一样 除了 mysql_real_escape_string() 接受的是一戚并个连接句柄并根据当前字符集转移字符串之外 mysql_escape_string() 并不接受连接参数 也不管当前字符集设定

例子 mysql_escape_string() 例子

代码如下

<?php $item = "Zak s Laptop"; $escaped_item = mysql_escape_string($item); printf ("Escaped string: %sn" $escaped_item); ?> 输出 Escaped string: Zak s Laptop

mysql_real_escape_string和mysql_escape_string这 个函数的区别

mysql_real_escape_string 必须在(PHP >= PHP )的情况下才能使用 否则只能用 mysql_escape_string 两者的区别是 mysql_real_escape_string 考虑到连接的当前字符集 而mysql_escape_string 不考虑

我们可以利用判断来综合处理

代码如下 function cleanuserinput($dirty){ if (get_magic_quotes_gpc()) { $clean = mysql_real_escape_string(stripslashes($dirty)); }else{ $clean = mysql_real_escape_string($dirty); } return $clean; }

总结一下

* addslashes() 是强行加;

* mysql_real_escape_string() 会判断字符集 但是对PHP版本有要求;

lishixin/Article/program/PHP/201311/21094

2. php如何防止sql注入攻击

注入式攻击的类型

可能存在许多不同类型的攻击动机，但是乍看上去，似乎仿橡存在更多的类型。这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话。本文后面，我们会对此作详细讨论。

如

果你的脚本正在执行一个SELECT指令，那么，攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如 =1这样的条件注态大颂入到WHERE子句中，如下所示(其中，注入部分以粗体显示)：

SELECT*FROMsitesWHEREsite='html580.com'OR1=1;'

正如我们在前面所讨论的，这本身可能是很有用的信息，因为它揭示了该表格的一般结构(这是一条普通的记录所不能实现的)，以及潜在地显示包含机密信息的记录。

一条更新指令潜在地具有更直接的威胁。通过把其它属性放到SET子句中，一名攻击者可以修改当前被更新的记录中的任何字段，例如下面的例子（其中，注入部分以粗体显示）：

UPDATEsitesSETsite='diygw.com'WHERE=

site='html580.com'

通过把一个例如1=1这样的恒真条件添加到一条更新指令的WHERE子句中，帆郑这种修改范围可以扩展到每一条记录，例如下面的例子：

UPDATEsitesSETsite='diygw.com'WHERE=

site='html580.comOR1=1;'

最危险的指令可能是DELETE-这是不难想象的。其注入技术与我们已经看到的相同-通过修改WHERE子句来扩展受影响的记录的范围，例如下面的例子：

DELETEFROMsitesSETsite='diygw.com'WHERE=

site='html580.comOR1=1;

3. 如何在PHP中阻止SQL注入

【一、在服务器端配置】
安全，PHP代码编写是一方面，PHP的配置更是非常关键。

我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开 /etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

(1) 打开php的安全模式

php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，

同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，

但是默认的php.ini是没有打开安全模式的，我们把它打开：

safe_mode = on

(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同

组的用户也能够对文件进行访问。

建议设置为：

safe_mode_gid = off

如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要

对文件进行操作的时候。

(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，

然后把需要执行的程序拷贝过去，比如：

safe_mode_exec_dir = D:/tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = D:/usr/www/include/

其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问

不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = D:/usr/www

(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，

我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的

phpinfo()等函数，那么我们就可以禁止它们：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，

就能够抵制大部分的phpshell了。

(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = Off

比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

(8) 关闭注册全局变量

在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，

这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：

register_globals = Off

当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，

那么就要用$_GET['var']来进行获取，这个php程序员要注意。

(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

所以一定要小心。php.ini中有一个设置：

magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，

比如把 ' 转为 \'等，这对防止sql注射有重大作用。所以我们推荐设置为：

magic_quotes_gpc = On

(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当

前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

display_errors = Off

如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = E_WARNING & E_ERROR

当然，我还是建议关闭错误提示。

(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = D:/usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。

MYSQL的降权运行

新建立一个用户比如mysqlstart

net user mysqlstart fuckmicrosoft /add

net localgroup users mysqlstart /del

不属于任何组

如果MYSQL装在d:\mysql ，那么，给 mysqlstart 完全控制 的权限

然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。

如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，

这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

net user apache fuckmicrosoft /add

net localgroup users apache /del

ok.我们建立了一个不属于任何组的用户apche。

我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，

重启apache服务，ok，apache运行在低权限下了。

实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。

这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。

【二、在PHP代码编写】
虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入，还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。
当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。
另外对于php手册中get_magic_quotes_gpc的举例：
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}
最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：mysql_real_escape_string 考虑到连接的
当前字符集，而mysql_escape_string 不考虑。
总结一下：
* addslashes() 是强行加\；
* mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；
* mysql_escape_string不考虑连接的当前字符集。
-------------------------------------------------------------------------------------------------
在PHP编码的时候，如果考虑到一些比较基本的安全问题，首先一点：
1. 初始化你的变量
为什么这么说呢？我们看下面的代码：
PHP代码
<?php
if ($admin)
{
echo '登陆成功！';
include('admin.php');
}
else
{
echo '你不是管理员，无法进行管理！';
}
?>
好，我们看上面的代码好像是能正常运行，没有问题，那么加入我提交一个非法的参数过去呢，那么效果会如何呢？比如我们的这个页是http://daybook.diandian.com/login.php，那么我们提交：http://daybook.diandian.com/login.php?admin=1，呵呵，你想一些，我们是不是直接就是管理员了，直接进行管理。
当然，可能我们不会犯这么简单错的错误，那么一些很隐秘的错误也可能导致这个问题，比如phpwind论坛有个漏洞，导致能够直接拿到管理员权限，就是因为有个$skin变量没有初始化，导致了后面一系列问题。那么我们如何避免上面的问题呢？首先，从php.ini入手，把php.ini里面的register_global =off，就是不是所有的注册变量为全局，那么就能避免了。但是，我们不是服务器管理员，只能从代码上改进了，那么我们如何改进上面的代码呢？我们改写如下：
PHP代码
<?php
$admin = 0; // 初始化变量
if ($_POST['admin_user'] && $_POST['admin_pass'])
{
// 判断提交的管理员用户名和密码是不是对的相应的处理代码
// ...
$admin = 1;
}
else
{
$admin = 0;
}
if ($admin)
{
echo '登陆成功！';
include('admin.php');
}
else
{
echo '你不是管理员，无法进行管理！';
}
?>
那么这时候你再提交http://daybook.diandian.com/login.php?admin=1就不好使了，因为我们在一开始就把变量初始化为 $admin = 0 了，那么你就无法通过这个漏洞获取管理员权限。
2. 防止SQL Injection (sql注射)
SQL 注射应该是目前程序危害最大的了，包括最早从asp到php，基本上都是国内这两年流行的技术，基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些sql查询语句，导致重要数据被窃取、数据丢失或者损坏，或者被入侵到后台管理。
那么我们既然了解了基本的注射入侵的方式，那么我们如何去防范呢？这个就应该我们从代码去入手了。
我们知道Web上提交数据有两种方式，一种是get、一种是post，那么很多常见的sql注射就是从get方式入手的，而且注射的语句里面一定是包含一些sql语句的，因为没有sql语句，那么如何进行，sql语句有四大句：select 、update、delete、insert，那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢？
于是我们使用正则就构建如下函数：
PHP代码
<?php
function inject_check($sql_str)
{
return eregi('select|insert|update|delete|'|
function verify_id($id=null)
{
if (!$id) { exit('没有提交参数！'); } // 是否为空判断
elseif (inject_check($id)) { exit('提交的参数非法！'); } // 注射判断
elseif (!is_numeric($id)) { exit('提交的参数非法！'); } // 数字判断
$id = intval($id); // 整型化
return $id;
}
?>
呵呵，那么我们就能够进行校验了，于是我们上面的程序代码就变成了下面的：
PHP代码
<?php
if (inject_check($_GET['id']))
{
exit('你提交的数据非法，请检查后重新提交！');
}
else
{
$id = verify_id($_GET['id']); // 这里引用了我们的过滤函数，对$id进行过滤
echo '提交的数据合法，请继续！';
}
?>
好，问题到这里似乎都解决了，但是我们有没有考虑过post提交的数据，大批量的数据呢？
比如一些字符可能会对数据库造成危害，比如 ' _ ', ' %'，这些字符都有特殊意义，那么我们如果进行控制呢？还有一点，就是当我们的php.ini里面的magic_quotes_gpc = off的时候，那么提交的不符合数据库规则的数据都是不会自动在前面加' '的，那么我们要控制这些问题，于是构建如下函数：
PHP代码
<?php
function str_check( $str )
{
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开
{
$str = addslashes($str); // 进行过滤
}
$str = str_replace("_", "\_", $str); // 把 '_'过滤掉
$str = str_replace("%", "\%", $str); // 把' % '过滤掉

return $str;
}
?>
我们又一次的避免了服务器被沦陷的危险。
最后，再考虑提交一些大批量数据的情况，比如发贴，或者写文章、新闻，我们需要一些函数来帮我们过滤和进行转换，再上面函数的基础上，我们构建如下函数：
PHP代码
<?php
function post_check($post)
{
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开
{
$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉
$post = str_replace("%", "\%", $post); // 把' % '过滤掉
$post = nl2br($post); // 回车转换
$post= htmlspecialchars($post); // html标记转换
return $post;
}
?>
呵呵，基本到这里，我们把一些情况都说了一遍，其实我觉得自己讲的东西还很少，至少我才只讲了两方面，再整个安全中是很少的内容了，考虑下一次讲更多，包括php安全配置，apache安全等等，让我们的安全正的是一个整体，作到最安全。
最后在告诉你上面表达的：1. 初始化你的变量 2. 一定记得要过滤你的变量

4. php防止sql注入以及xss跨站脚本攻击

1.post数据

封装转义函数 防sql注入  eag：addslashes($username);​addslashes($password);​ 

eag:防止sql注入函数封装 

function deepslashes($data){

#判断$data的表现形式 并且需要处理空的情况

if(empty($data)){

return($data);

}​

#高级简写 return is_array($data) ? array_map('deepslashes',$data) : addslashes($data);

#初级写法​

if(is_array($data)){

#递归循环遍历处理多维数组

foreach ($data as $v) {

return deepslashes($v);

}

}else{

#单一变量

return addslashes($data);

}

#初级写法​​

}​

2.get数据​

指url 传参数导致sql发生改变

解决方案​

①强制转换，使用函数intval 或者 数据类型 的关键字int

②隐式转换，通过运算，只需要+0即可​

3.xss跨站脚本攻击​

​ 指恶意攻击向web页面插入html、js标签导致页面出现错误

解决方案

转义标签'<' '>'即可，有以下php函数可解决

htmlspecialchars 函数 和 htmlentites函数​

eag:

​function deepslashes($data){

#判断$data的表现形式 并且需要处理空的情况

if(empty($data)){

return($data);

}​

return is_array($data) ? array_map('deepslashes',$data) : htmlspecialchars ($data);

}​

5. PHP代码网站如何防范SQL注入漏洞攻击建议分享

做为网络开发者的你对这种黑客行为恨之入骨，当然也有必要了解一下SQL注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库。今天就通过PHP和MySQL数据库为例，分享一下我所了解的SQL注入攻击和一些简单的防范措施和一些如何避免SQL注入攻击的建议。
简单来说，SQL注入是使用代码漏洞来获取网站或应用程序后台的SQL数据库中的数据，进而可以取得数据库的访问权限。比如，黑客可以利用网站代码的漏洞，使用SQL注入的方式取得一个公司网站后台数据库里所有的数据信息。拿到数据库管理员登录用户名和密码后黑客可以自由修改数据库中的内容甚至删除该数据库。SQL注入也可以用来检验一个网站或应用的安全性。SQL注入的方式有很多种，但本文将只讨论最基本的原理，我们将以PHP和MySQL为例。本文的例子很简单，如果你使用其它语言理解起来也不会有难度，重点关注SQL命令即可。
一个简单的SQL注入攻击案例
假如我们有一个公司网站，在网站的后台数据库中保存了所有的客户数据等重要信息。假如网站登录页面的代码中有这样一条命令来读取用户信息。
$q
=
"SELECT
`id`
FROM
`users`
WHERE
`username`=
'
"
.$_GET['username'].
"
'
AND
`password`=
'
"
.$_GET['password'].
"
'
";?>现在有一个黑客想攻击你的数据库，他会尝试在此登录页面的用户名的输入框中输入以下代码:
'
;
SHOW
TABLES;
点击登陆键，这个页面就会显示出数据库中的所有表。如果他现在使用下面这行命令:
';
DROP
TABLE
[table
name];
这样他就把一张表删除了!
防范SQL注入
-
使用mysql_real_escape_string()函数
在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉，如引号等。如下例:
$q
=
"SELECT
`id`
FROM
`users`
WHERE
`username`=
'
"
.mysql_real_escape_string(
$_GET['username']
).
"
'
AND
`password`=
'
"
.mysql_real_escape_string(
$_GET['password']
).
"
'
";?>防范SQL注入
-
使用mysql_query()函数
mysql_query()的特别是它将只执行SQL代码的第一条，而后面的并不会执行。回想在最前面的例子中，黑客通过代码来例后台执行了多条SQL命令，显示出了所有表的名称。所以mysql_query()函数可以取到进一步保护的作用。我们进一步演化刚才的代码就得到了下面的代码:
//connection
$database
=
mysql_connect("localhost",
"username","password");
//db
selection
$q
=
mysql_query("SELECT
`id`
FROM
`users`
WHERE
`username`=
'
"
.mysql_real_escape_string(
$_GET['username']
).
"
'
AND
`password`=
'
"
.mysql_real_escape_string(
$_GET['password']
).
"
'
",
$database);?>除此之外，我们还可以在PHP代码中判断输入值的长度，或者专门用一个函数来检查输入的值。所以在接受用户输入值的地方一定要做好输入内容的过滤和检查。当然学习和了解最新的SQL注入方式也非常重要，这样才能做到有目的的防范。如果使用的是平台式的网站系统如Wordpress，要注意及时打上官方的补丁或升级到新的版本。

6. 如何在PHP里防止SQL注入

过滤一些常见的数据库操作关键字,
select ,insert,update,delete,and,*等或通过系统函数addslashes对内容进行过滤
php配置文件中register_globals=off;设置为关闭状态.(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值
sql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号
提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中
对于常的方法加以封装,避免直接暴漏SQL语句
开启PHP安全模式safe_mode=on
打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把"'"转换成"\'"
控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志
使用MYSQLI或PDO预处理

7. 我怎样才能防止在PHP的SQL注入

如果用户输入的是直接插入到一个SQL语句中的查询，应用程序会很容易受到SQL注入，例如下面的例子:

复制代码 代码如下:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");
这是因为用户可以输入类似VALUE"); DROP TABLE表; - ，使查询变成：

复制代码 代码如下:
INSERT INTO table (column) VALUES('VALUE'); DROP TABLE table;
我们应该怎么防止这种情况呢?下面我们来看看Theo的回答
使用预备义语句和参数化查询。对于带有任何参数的sql语句都会被发送到数据库服务器，并被解析！对于攻击者想要恶意注入sql是不可能的！
实现这一目标基本上有两种选择：
1.使用PDO(PHP Data Objects )

复制代码 代码如下:
$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array(':name' => $name));
foreach ($stmt as $row) {
// do something with $row
}
2.使用mysqli

复制代码 代码如下:
$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);
$stmt->execute();
$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
// do something with $row
}
PDO(PHP数据对象)
注意当使用PDO访问MySQL数据库真正的预备义语句并不是默认使用的！为了解决这个问题，你必须禁用仿真准备好的语句。使用PDO创建连接的例子如下：

复制代码 代码如下:
$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
在上面例子中错误模式ERRMODE不是严格必须的，但是建议添加它。当运行出错产生致命错误时，这种方法脚本不会停止。并给开发人员捕捉任何错误的机会（当抛出PDOException异常时）。
setAttribute()那一行是强制性的，它告诉PDO禁用仿真预备义语句，使用真正的预备义语句。这可以确保语句和值在发送给MySQL数据库服务器前不被PHP解析(攻击者没有机会注入恶意的SQL).
当然你可以在构造函数选项中设置字符集参数，特别注意'老'的PHP版本（5.3.6）会在DSN中忽略掉字符集参数。
Explanation(解释)

在你传递的sql预备义语句 被数据库服务器解析和编译会发生什么？通过指定的字符(在上面例子中像a?或者像:name)告诉数据库引擎你想要过滤什么.然后调用execute执行结合好的预备义语句和你指定的参数值.
这里最重要的是，该参数值是和预编译的语句结合的，而不是和一个SQL字符串.SQL注入的工作原理是通过欺骗手段创建的SQL脚本包括恶意字符串发送到数据库.因此，通过发送实际的分开的sql参数,你会降低风险.使用准备好的语句时，你发送的任何参数，将只被视为字符串（虽然数据库引擎可能会做一些参数的优化，当然最终可能会为数字）.在上面的例子中，如果变量$name包含'sarah';DELETE * FROM employees,结果只会是一个搜索的字符串"'sarah';DELETE * FROM employees",你不会得到一个空表。
使用准备好的语句的另一个好处是，如果你在同一会话中多次执行相同的语句，这将只被解析和编译一次，给你一些的速度增长。
哦，既然你问如何进行插入，这里是一个例子（使用PDO）：

复制代码 代码如下:
$preparedStatement = $db->prepare('INSERT INTO table (column) VALUES (:column)');
$preparedStatement->execute(array(':column' => $unsafeValue));

8. php防止sql注入漏洞有哪些函数

一个是没有对输入的数据进行过滤（过滤输入），还有一个是没有对发送到数据库的数据进行转义（转义输出）。这两个重要的步骤缺一不可，需要同时加以特别关注以减少程序错误。
对于攻击者来说，进行SQL注入攻击需要思考和试验，对数据库方案进行有根有据的推理非常有必要（当然假设攻击者看不到你的源程序和数据库方案），考虑以下简单的登录表单：
<form action="/login.php" method="POST">
<p>Username: <input type="text" name="username" /></p>
<p>Password: <input type="password" name="password" /></p>
<p><input type="submit" value="Log In" /></p>
</form>
作为一个攻击者，会从推测验证用户名和密码的查询语句开始。通过查看源文件，就能开始猜测站长的习惯。
比如命名习惯。通常会假设表单中的字段名为与数据表中的字段名相同。当然，确保它们不同未必是一个可靠的安全措施。
第一次猜测，一般会使用下面例子中的查询：
<?php
$password_hash = md5($_POST['password']);

$sql = "SELECT count(*)
FROM users
WHERE username = '{$_POST['username']}'
AND password = '$password_hash'";
?>
当然，攻击者未必在第一次就能猜中，常常还需要做一些试验。有一个比较好的试验方式是把单引号作为用户名录入，原因是这样可能会暴露一些重要信息。有很多开发人员在Mysql语句执行出错时会调用函数mysql_error()来报告错误。见下面的例子：
<?php
mysql_query($sql) or exit(mysql_error());
?>
关于SQL注入，不得不说的是现在大多虚拟主机都会把magic_quotes_gpc选项打开，在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理，所以此时对字符串值的SQL注入是不可行的，但要防止对数字值的SQL注入，如用intval()等函数进行处理。

9. 防止sql注入的php代码！

<?php
function checkIllegalWord ()
{
// 定义不允许提交的SQL命令及关键字
$words = array();
$words[] = " add ";
$words[] = " count ";
$words[] = " create ";
$words[] = " delete ";
$words[] = " drop ";
$words[] = " from ";
$words[] = " grant ";
$words[] = " insert ";
$words[] = " select ";
$words[] = " truncate ";
$words[] = " update ";
$words[] = " use ";
$words[] = "-- ";

// 判断提交的数据中是否存在以上关键字, $_REQUEST中含有所有提交数据
foreach($_REQUEST as $strGot) {
$strGot = strtolower($strGot); // 转为小写
foreach($words as $word) {
if (strstr($strGot, $word)) {
echo "您输入的内容含有非法字符！";
exit; // 退出运行
}
}
}// foreach
}
checkIllegalWord(); // 在本文件被包含时即自动调用
?>
给你个参考