在PHP项目开发中，SQL注入是一种常见且极具威胁性的安全漏洞。攻击者通过构造恶意的SQL语句，绕过应用程序的输入验证，直接对数据库进行非法操作，可能导致数据泄露、数据被篡改甚至整个数据库系统被破坏。为了有效防范SQL注入攻击，需要采用多层防御策略。下面将详细介绍这些策略。

输入验证

输入验证是防御SQL注入的第一道防线。在接收用户输入时，对输入的数据进行严格的验证和过滤，确保输入的数据符合预期的格式和范围。

对于数字类型的输入，要确保输入的是合法的数字。可以使用PHP的内置函数如 is_numeric() 进行验证。示例代码如下：

$input = $_GET['id'];
if (is_numeric($input)) {
    // 输入是合法数字，可以继续处理
} else {
    // 输入不合法，给出错误提示
    die('输入的ID必须是数字');
}

对于字符串类型的输入，要去除可能包含的恶意字符。可以使用 htmlspecialchars() 函数对特殊字符进行转义，防止攻击者利用这些字符构造恶意SQL语句。示例代码如下：

$input = $_POST['username'];
$safe_input = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');

还可以使用正则表达式对输入进行更精确的验证。例如，验证邮箱地址的格式：

$email = $_POST['email'];
if (preg_match('/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/', $email)) {
    // 邮箱格式合法
} else {
    // 邮箱格式不合法
    die('请输入合法的邮箱地址');
}

使用预处理语句

预处理语句是防范SQL注入的重要手段。在PHP中，使用PDO（PHP Data Objects）或mysqli扩展都可以实现预处理语句。

使用PDO的预处理语句示例：

try {
    $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
    $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username');
    $username = $_POST['username'];
    $stmt->bindParam(':username', $username, PDO::PARAM_STR);
    $stmt->execute();
    $result = $stmt->fetchAll(PDO::FETCH_ASSOC);
} catch (PDOException $e) {
    echo '数据库错误: '. $e->getMessage();
}

在上述代码中，prepare() 方法用于准备SQL语句，bindParam() 方法将用户输入的值绑定到SQL语句中的参数上，最后使用 execute() 方法执行语句。这样可以确保用户输入的数据不会直接嵌入到SQL语句中，从而避免了SQL注入的风险。

使用mysqli的预处理语句示例：

$mysqli = new mysqli('localhost', 'username', 'password', 'test');
if ($mysqli->connect_error) {
    die('数据库连接错误: '. $mysqli->connect_error);
}
$username = $_POST['username'];
$stmt = $mysqli->prepare('SELECT * FROM users WHERE username =?');
$stmt->bind_param('s', $username);
$stmt->execute();
$result = $stmt->get_result();
$rows = $result->fetch_all(MYSQLI_ASSOC);
$stmt->close();
$mysqli->close();

同样，prepare() 方法准备SQL语句，bind_param() 方法绑定参数，最后执行语句。

数据库用户权限管理

合理的数据库用户权限管理可以降低SQL注入攻击的危害。为应用程序创建专门的数据库用户，并只赋予其执行必要操作的最小权限。

例如，如果应用程序只需要查询数据，那么只给数据库用户赋予 SELECT 权限，而不赋予 INSERT、UPDATE、DELETE 等权限。这样即使发生SQL注入攻击，攻击者也无法对数据库进行非法的写操作。

在MySQL中，可以使用以下语句创建一个只具有查询权限的用户：

CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'password';
GRANT SELECT ON test.* TO 'app_user'@'localhost';
FLUSH PRIVILEGES;

上述代码创建了一个名为 app_user 的用户，并只赋予其对 test 数据库的查询权限。

错误处理和日志记录

良好的错误处理和日志记录可以帮助及时发现和处理SQL注入攻击。在PHP项目中，要避免将详细的数据库错误信息直接返回给用户，因为这些信息可能会被攻击者利用。

可以使用自定义的错误处理函数来捕获和处理数据库错误。示例代码如下：

function custom_error_handler($errno, $errstr, $errfile, $errline) {
    error_log("错误号: $errno, 错误信息: $errstr, 文件: $errfile, 行号: $errline");
    echo '发生了一个错误，请稍后再试。';
}
set_error_handler('custom_error_handler');

在上述代码中，custom_error_handler() 函数用于记录错误信息到日志文件，并向用户返回一个通用的错误提示。

同时，要建立完善的日志记录系统，记录所有与数据库操作相关的信息，包括用户输入、执行的SQL语句、执行结果等。这样在发生异常时，可以通过查看日志来分析问题。可以使用PHP的 error_log() 函数将信息记录到日志文件中。示例代码如下：

$input = $_POST['input'];
$stmt = $pdo->prepare('SELECT * FROM table WHERE column = :input');
$stmt->bindParam(':input', $input, PDO::PARAM_STR);
$stmt->execute();
$log_message = "用户输入: $input, SQL语句: SELECT * FROM table WHERE column = :input, 执行结果: ". ($stmt->rowCount() > 0? '有结果' : '无结果');
error_log($log_message);

定期更新和安全审计

定期更新PHP和数据库系统的版本是防范SQL注入攻击的重要措施。新版本通常会修复已知的安全漏洞，提高系统的安全性。

同时，要定期进行安全审计，检查代码中是否存在潜在的SQL注入漏洞。可以使用静态代码分析工具，如PHP_CodeSniffer、PHPMD等，对代码进行扫描，找出可能存在的安全问题。

还可以进行渗透测试，模拟攻击者的行为，对应用程序进行攻击测试，发现并修复潜在的漏洞。可以使用专业的渗透测试工具，如Nmap、Burp Suite等。

综上所述，应对PHP项目中的SQL注入需要采用多层防御策略。通过输入验证、使用预处理语句、数据库用户权限管理、错误处理和日志记录以及定期更新和安全审计等措施，可以有效地防范SQL注入攻击，保障应用程序和数据库的安全。