嘿，作为PHP新手碰到这种SQL注入攻击确实闹心——别担心，咱们一步步把这个漏洞堵上，同时还能巩固你的PHP安全基础！

1. 立刻改用参数化查询（预处理语句） #

这是预防SQL注入最有效的手段，原理是把SQL逻辑和用户输入完全分开，数据库会把用户输入当成纯数据，不会解析成SQL命令。这才是从根源上解决问题的办法，别再用手动拼接SQL的老方式了！

用PDO实现的示例（推荐，兼容性更好） #

假设你之前是直接把用户输入拼进SQL里，现在改成这样：

// 初始化PDO连接（替换成你的数据库信息）
$dsn = 'mysql:host=localhost;dbname=your_db;charset=utf8mb4';
$username = 'your_user';
$password = 'your_pass';

try {
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 用?作为占位符，和用户输入完全分离
    $sql = "INSERT INTO messages (full_name, email, subject, message) VALUES (?, ?, ?, ?)";
    $stmt = $pdo->prepare($sql);

    // 绑定并执行，PDO会自动处理所有安全转义
    $stmt->execute([
        $_POST['full_name'],
        $_POST['email'],
        $_POST['subject'],
        $_POST['message']
    ]);

    echo "消息提交成功！";
} catch(PDOException $e) {
    echo "提交失败，请稍后重试";
    // 可以把错误信息写到日志里，别直接给用户看
    error_log("表单提交错误: " . $e->getMessage());
}

用MySQLi实现的示例（如果习惯用mysqli扩展） #

// 初始化mysqli连接
$conn = new mysqli('localhost', 'your_user', 'your_pass', 'your_db');
if ($conn->connect_error) {
    die("连接失败，请稍后重试");
}

// 准备预处理语句
$stmt = $conn->prepare("INSERT INTO messages (full_name, email, subject, message) VALUES (?, ?, ?, ?)");
// 绑定参数，四个s代表四个字段都是字符串类型
$stmt->bind_param("ssss", $full_name, $email, $subject, $message);

// 赋值用户输入
$full_name = $_POST['full_name'];
$email = $_POST['email'];
$subject = $_POST['subject'];
$message = $_POST['message'];

// 执行语句
$stmt->execute();

echo "消息提交成功！";

// 记得关闭连接和语句
$stmt->close();
$conn->close();

2. 增加输入验证与过滤（额外防护） #

预处理已经足够安全，但额外的验证能帮你过滤掉明显的恶意内容，还能提升用户体验：

• 对邮箱字段，用filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)验证格式，无效邮箱直接拒绝
• 对全名、主题、消息，限制合理长度（比如主题最多100字符，消息最多2000字符），用mb_strlen()检查
• 可以用trim()去掉输入首尾的空白字符
• 对明显的SQL注入关键词（比如sleep(、select(），可以做拦截，但别把这个当主要防护（攻击者很容易绕过），示例：

$malicious_keywords = ['sleep\(', 'select\(', 'union\s+select'];
foreach ($malicious_keywords as $keyword) {
    if (preg_match("/$keyword/i", $_POST['subject']) || preg_match("/$keyword/i", $_POST['message'])) {
        die("提交内容包含违规字符，请重新输入！");
    }
}

3. 输出时的转义（如果要展示用户内容） #

如果你之后要把用户提交的消息展示在后台或前端页面，记得用htmlspecialchars()转义，防止XSS攻击：

// 假设$message_from_db是从数据库取出的用户消息
echo htmlspecialchars($message_from_db, ENT_QUOTES, 'UTF-8');

4. 额外的安全强化 #

• 不要用root权限的数据库账号，给网站用的账号只分配必要的权限（比如只有INSERT、SELECT权限，没有DROP、ALTER等高风险权限）
• 关闭PHP的错误输出到浏览器，把错误信息写到日志里（避免泄露数据库结构）
• 给联系表单添加CSRF令牌，防止跨站请求伪造攻击（生成随机令牌存在session里，表单加隐藏字段提交，验证通过再处理）

最后提醒 #

别再依赖mysql_real_escape_string()这类旧方法了，预处理语句才是当前的标准解决方案——它从根本上杜绝了SQL注入的可能，比手动转义可靠得多！

内容的提问来源于stack exchange，提问作者Syed Naveed