使用PHP函数过滤输入数据以防止SQL注入

为了防止SQL注入攻击，PHP提供了一些内置函数和最佳实践来过滤输入数据。以下是一些常用的方法：

1. 使用预处理语句：预处理语句是防止SQL注入攻击的最佳实践之一。使用PDO（PHP Data Objects）或MySQLi（MySQL improved Extension）等库可以创建预处理语句。

下面是使用PDO创建预处理语句的示例：

$pdo = new PDO('mysql:host=localhost;dbname=mydb', 'username', 'password');

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');

$stmt->bindValue(':username', $_POST['username']);
$stmt->execute();

$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

在上面的代码中，:username是一个命名占位符，可以防止输入的值作为SQL命令的一部分执行。

2. 使用参数化查询：参数化查询是一种预处理语句的变体，可以将参数的值嵌入到查询语句中。

下面是使用MySQLi创建参数化查询的示例：

$mysqli = new mysqli('localhost', 'username', 'password', 'mydb');

$stmt = $mysqli->prepare('SELECT * FROM users WHERE username = ?');
$stmt->bind_param('s', $_POST['username']);

$stmt->execute();

$result = $stmt->get_result();
$data = $result->fetch_all(MYSQLI_ASSOC);

在上面的代码中，?是一个占位符，表示参数的值。使用bind_param()函数将参数值绑定到查询语句中。

3. 使用过滤函数：PHP提供了一些过滤函数用于过滤输入数据。最常用的函数是mysqli_real_escape_string()和htmlspecialchars()。

下面是使用mysqli_real_escape_string()函数过滤输入数据的示例：

$mysqli = new mysqli('localhost', 'username', 'password', 'mydb');

$username = $mysqli->real_escape_string($_POST['username']);
$password = $mysqli->real_escape_string($_POST['password']);

$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";

$result = $mysqli->query($query);
$data = $result->fetch_all(MYSQLI_ASSOC);

在上面的代码中，mysqli_real_escape_string()函数会转义输入数据中的特殊字符，从而防止其被误解为SQL命令的一部分。

4. 使用过滤器函数：PHP还提供了过滤器函数，可以根据特定的规则过滤输入数据。filter_input()和filter_var()函数可以用于过滤输入数据。

下面是使用filter_input()函数过滤输入数据的示例：

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
$password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);

$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";

$result = $mysqli->query($query);
$data = $result->fetch_all(MYSQLI_ASSOC);

在上面的代码中，FILTER_SANITIZE_STRING过滤器将输入数据中的HTML标签和特殊字符（如尖括号和引号）删除。

总的来说，使用预处理语句和参数化查询是防止SQL注入攻击的最佳实践。此外，结合使用其他过滤函数可以提供更强大的输入数据过滤保护。