php用什麼方法防止sql注入攻擊

在伺服器端進行設定

安全，PHP程式碼寫是一方面，PHP的設定更是非常關鍵。
我們php手手動安裝的，php的預設設定檔在 /usr/local/apache2/conf/php.ini，我們最主要就是要設定php.ini中的內容，讓我們執行 php能夠更安全。整個PHP中的安全設定主要是為了防止phpshell和SQL Injection的攻擊，一下我們慢慢探討。我們先使用任何編輯工具開啟 /etc/local/apache2/conf/php.ini，如果你是採用其他方式安裝，設定檔可能不在該目錄中。

(1) 開啟php的安全模式
php的安全模式是個非常重要的內嵌的安全機制，能夠控制一些php中的函數，例如system()，同時把很多文件操作函數進行了權限控制，也不允許對某些關鍵文件的文件，比如/etc/passwd，但是默認的php.ini是沒有打開安全模式的，我們把它打開：

safe_mode = on

(2) 使用者群組安全
當safe_mode開啟時，safe_mode_gid被關閉，那麼php腳本能夠對檔案進行訪問，而且相同群組的使用者也能夠對檔案進行訪問。
建議設定為：

safe_mode_gid = off

如果不進行設置，可能我們無法對我們伺服器網站目錄下的檔案進行操作了，例如我們需要對檔案進行操作的時候。

(3) 安全模式下執行程式主目錄
如果安全模式開啟了，但是卻是要執行某些程式的時候，可以指定要執行程式的主目錄：

safe_mode_exec_dir = D:/usr/bin

一般情況下是不需要執行什麼程式的，所以推薦不要執行系統程式目錄，可以指向一個目錄，然後把需要執行的程式拷貝過去，例如：

safe_mode_exec_dir = D:/tmp/cmd

但是，我更推薦不要執行任何程序，那麼就可以指向我們網頁目錄：

safe_mode_exec_dir = D:/usr/www

(4) 安全模式下包含文件
如果要在安全模式下包含某些公共文件，那麼就修改一下選項：

safe_mode_include_dir = D:/usr/www/include/

其實一般php腳本中包含文件都是在程式自己已經寫好了，這個可依具體需求設定。

(5) 控制php腳本能存取的目錄
使用open_basedir選項能夠控制PHP腳本只能存取指定的目錄，這樣能夠避免PHP腳本存取不應該存取的文件，一定程度上限制了phpshell的危害，我們一般可以設定為只能存取網站目錄：

open_basedir = D:/usr/www

(6) 關閉危險函數
如果開啟了安全模式，那麼函數禁止是可以不需要的，但是我們為了安全還是考慮進去。例如，我們覺得不希望執行包括system()等在那的能夠執行指令的php函數，或是能夠查看php資訊的phpinfo()等函數，那麼我們就可以禁止它們：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

如果你要禁止任何文件和目錄的操作，那麼可以關閉很多文件操作。

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,
rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的檔案處理函數，你也可以把上面執行指令函數和這個函數結合，就能夠抵制大部分的phpshell了。

(7) 關閉PHP版本資訊在http頭中的洩漏
#我們為了防止駭客取得伺服器中php版本的信息，可以關閉該資訊斜路在http頭中：

expose_php = Off

例如駭客在telnet www.12345.com 80 的時候，那麼將無法看到PHP的資訊。
(8) 關閉註冊全域變數
在PHP中提交的變量，包括使用POST或GET提交的變量，都將自動註冊為全域變量，能夠直接訪問，這是對伺服器非常不安全的，所以我們不能讓它註冊為全域變量，就把註冊全域變數選項關閉：

register_globals = Off

當然，如果這樣設定了，那麼取得對應變數的時候就要採用合理方式，例如獲取GET提交的變數var，那麼就要用$_GET['var']來進行獲取，這個php程式設計師要注意。
(9) 開啟magic_quotes_gpc來防止SQL注入
SQL注入是非常危險的問題，小則網站後台被入侵，重則整個伺服器淪陷，所以一定要小心。 php.ini中有一個設定：

magic_quotes_gpc = Off

這個預設是關閉的，如果它打開後將自動把用戶提交對sql的查詢進行轉換，比如把' 轉為\'等，這對防止sql注射有重大作用。所以我們推薦設定為：

magic_quotes_gpc = On

(10) 錯誤訊息控制
一般php在沒有連接到資料庫或其他情況下會有提示錯誤，一般錯誤訊息中會包含php腳本目前的路徑資訊或查詢的SQL語句等信息，這類資訊提供給駭客後，是不安全的，所以一般伺服器建議禁止錯誤提示：

display_errors = Off

如果你卻是要顯示錯誤訊息，一定要設定顯示錯誤的級別，例如只顯示警告以上的訊息：

error_reporting = E_WARNING & E_ERROR

当然，我还是建议关闭错误提示。
(11) 错误日志
建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = On

同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = D:/usr/local/apache2/logs/php_error.log

注意：给文件必须允许apache用户的和组具有写的权限。
MYSQL的降权运行
新建立一个用户比如mysqlstart

net user mysqlstart fuckmicrosoft /add
net localgroup users mysqlstart /del

不属于任何组
如果MYSQL装在d:\mysql ，那么，给 mysqlstart 完全控制 的权限
然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。
重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。
如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限
这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

net user apache fuckmicrosoft /add
net localgroup users apache /del

ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，
重启apache服务，ok，apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。 

推荐视频教程：PHP视频教程

以上是php用什麼方法防止sql注入攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章！