你的网站真的安全吗？一个外卖订单引发的血案

上周老张的餐饮网站被黑了，黑客用一句"SELECT * FROM users WHERE account='xxx' AND password='yyy'"直接扒走了所有用户数据。这事儿说白了，就是典型的SQL注入攻击。咱们搞开发的都知道，这玩意儿就像给数据库开了个后门，坏人用几行代码就能把咱们辛苦攒的数据打包带走。那今天咱就唠唠，怎么用PHP把这道后门焊死！

方法一：PDO预处理——给SQL语句装上防弹衣

（掏出键盘开始敲代码）来，咱们先看段作死代码：

php复制
$user = $_POST['username'];
$sql = "SELECT * FROM users WHERE name = '$user'";

这写法看着眼熟吧？要是用户输入个' OR '1'='1，数据库直接裸奔了。这时候PDO预处理就该登场了，相当于给SQL语句套了个保护罩。

??正确打开方式：??

php复制
$pdo = new PDO("mysql:host=localhost;dbname=test", "root", "");
$stmt = $pdo->prepare("SELECT * FROM users WHERE name = :name");
$stmt->execute([':name' => $user]);

这里有几个关键点要划重点：

1. 用冒号开头的命名占位符（:name）比问号更直观
2. execute方法会自动处理特殊字符转义
3. 参数绑定就像给数据套了层保鲜膜，脏东西进不去

（突然拍大腿）对了！记得设置错误模式为异常模式，不然出错了你都不知道：

php复制
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

方法二：输入过滤——给用户数据装上安检门

虽然预处理是主力，但咱也不能把所有鸡蛋放一个篮子里。好比你去菜市场买菜，总不能直接往嘴里塞吧？得先洗洗对吧？

??四步过滤大法：??

1. 数字就用intval()转成整数
2. 字符串用trim()去头尾空格
3. 邮箱用filter_var($email, FILTER_VALIDATE_EMAIL)
4. 特殊字符用htmlspecialchars()转义

举个栗子：

php复制
$age = isset($_POST['age']) ? intval($_POST['age']) : 0;
$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);

（敲黑板）注意啦！过滤不能替代预处理，这俩得配合着用，就像戴了口罩还要保持社交距离，双重防护更靠谱。

方法三：权限控制——给数据库上把智能锁

说个真实案例：去年某公司实习生用root账号连数据库，结果被注入攻击直接删库。这事儿告诉我们——权限管理不是摆设！

??权限设置三原则：??

• 应用账号只给最小权限（SELECT/INSERT/UPDATE）
• 禁止直接执行DROP、GRANT等危险操作
• 生产环境禁用phpMyAdmin等管理工具

（突然压低声音）偷偷告诉你个绝招：在PHP配置文件里单独设置数据库账号，别把密码明晃晃写在代码里。就像你家大门钥匙，能随便放门垫底下吗？

常见误区：你以为安全了其实在裸奔

1. ??迷信转义函数??：mysql_real_escape_string早过时了，而且处理不了所有情况
2. ??重复防护??：既用预处理又手动转义，纯属脱裤子放屁
3. ??忽视错误提示??：开发环境记得关闭错误回显，别给黑客留线索

（突然想起什么）对了！最近帮人排查个注入漏洞，发现他虽然用了PDO，但SQL语句是动态拼接的——这不白忙活了吗？记住啊，占位符不能用在表名、字段名这些地方！

个人观点：安全不是选修课

干了十年PHP开发，见过太多"先实现功能再说"的悲剧。现在框架都自带防护机制（比如Laravel的Eloquent ORM），但很多新手非要自己造轮子。说句掏心窝的话，安全这事儿就像买保险，平时嫌麻烦，出事哭都来不及。

最后送大家句话：写代码时多问自己"这么写会被黑吗？"，这习惯能让你少踩80%的坑。毕竟，咱们程序员最大的成就感，不就是看着自己写的系统稳稳当当地跑着吗？