在Web开发中，PHP是一种广泛使用的服务器端脚本语言，而SQL查询则是与数据库交互的重要手段。然而，复杂的SQL查询语句容易受到SQL注入攻击，这会给系统带来严重的安全隐患。本文将详细分享PHP针对复杂SQL查询语句防止注入的技巧。

一、理解SQL注入攻击

SQL注入是一种常见的网络攻击方式，攻击者通过在应用程序的输入字段中添加恶意的SQL代码，从而改变原本的SQL查询逻辑。例如，在一个简单的登录表单中，如果开发者没有对用户输入进行有效的过滤，攻击者可以输入类似“' OR '1'='1”这样的内容，就可能绕过正常的身份验证机制。

复杂的SQL查询语句由于涉及多个表的连接、子查询等操作，更容易成为SQL注入攻击的目标。攻击者可以利用复杂查询中的漏洞，获取、修改甚至删除数据库中的重要数据。

二、使用预处理语句

预处理语句是防止SQL注入的最有效方法之一。在PHP中，PDO（PHP Data Objects）和mysqli都支持预处理语句。

以下是使用PDO的示例代码：

// 连接数据库
$dsn = 'mysql:host=localhost;dbname=test';
$username = 'root';
$password = '';
try {
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 准备SQL语句
    $sql = "SELECT * FROM users WHERE username = :username AND password = :password";
    $stmt = $pdo->prepare($sql);

    // 绑定参数
    $username = $_POST['username'];
    $password = $_POST['password'];
    $stmt->bindParam(':username', $username, PDO::PARAM_STR);
    $stmt->bindParam(':password', $password, PDO::PARAM_STR);

    // 执行查询
    $stmt->execute();
    $result = $stmt->fetchAll(PDO::FETCH_ASSOC);

    // 处理结果
    if ($result) {
        echo "登录成功";
    } else {
        echo "用户名或密码错误";
    }
} catch(PDOException $e) {
    echo "Error: " . $e->getMessage();
}

在上述代码中，我们使用了PDO的预处理语句。首先，通过"prepare"方法准备SQL语句，其中使用了占位符":"。然后，使用"bindParam"方法将用户输入的值绑定到占位符上。最后，使用"execute"方法执行查询。这样，即使用户输入了恶意的SQL代码，也会被当作普通的字符串处理，从而避免了SQL注入攻击。

使用mysqli的预处理语句示例如下：

// 连接数据库
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "test";

$conn = new mysqli($servername, $username, $password, $dbname);

if ($conn->connect_error) {
    die("连接失败: " . $conn->connect_error);
}

// 准备SQL语句
$sql = "SELECT * FROM users WHERE username = ? AND password = ?";
$stmt = $conn->prepare($sql);

// 绑定参数
$username = $_POST['username'];
$password = $_POST['password'];
$stmt->bind_param("ss", $username, $password);

// 执行查询
$stmt->execute();
$result = $stmt->get_result();

// 处理结果
if ($result->num_rows > 0) {
    echo "登录成功";
} else {
    echo "用户名或密码错误";
}

$stmt->close();
$conn->close();

mysqli的预处理语句与PDO类似，也是先准备SQL语句，使用占位符"?"，然后通过"bind_param"方法绑定参数。

三、输入验证和过滤

除了使用预处理语句，对用户输入进行验证和过滤也是防止SQL注入的重要步骤。在接收用户输入时，应该根据实际需求对输入进行验证，确保输入的数据符合预期的格式。

例如，如果用户输入的是一个整数，应该使用"is_numeric"函数进行验证：

$id = $_GET['id'];
if (is_numeric($id)) {
    // 可以安全地使用该输入
    $sql = "SELECT * FROM products WHERE id = $id";
} else {
    // 输入不合法，给出错误提示
    echo "输入的ID必须是数字";
}

对于字符串类型的输入，可以使用"htmlspecialchars"函数对特殊字符进行转义，防止恶意代码的注入：

$name = $_POST['name'];
$safe_name = htmlspecialchars($name, ENT_QUOTES, 'UTF-8');
$sql = "INSERT INTO users (name) VALUES ('$safe_name')";

另外，还可以使用正则表达式对输入进行更严格的验证。例如，验证邮箱地址：

$email = $_POST['email'];
if (preg_match('/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/', $email)) {
    // 邮箱格式正确
} else {
    // 邮箱格式错误
    echo "请输入正确的邮箱地址";
}

四、限制数据库用户权限

为了降低SQL注入攻击的风险，应该限制数据库用户的权限。不要使用具有高权限的数据库账号来执行所有的操作，而是为不同的应用程序或功能创建不同的数据库用户，并只授予其必要的权限。

例如，如果一个应用程序只需要查询数据，那么可以创建一个只具有"SELECT"权限的数据库用户：

-- 创建一个新用户
CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'password';

-- 授予SELECT权限
GRANT SELECT ON test.* TO 'app_user'@'localhost';

-- 刷新权限
FLUSH PRIVILEGES;

这样，即使发生了SQL注入攻击，攻击者也只能获取数据，而无法修改或删除数据库中的重要信息。

五、定期更新和维护

保持PHP和数据库管理系统的更新是防止SQL注入攻击的重要措施。开发者应该及时关注官方发布的安全补丁和更新，及时修复已知的安全漏洞。

同时，定期对应用程序进行安全审计，检查是否存在潜在的SQL注入风险。可以使用一些安全扫描工具，如OWASP ZAP等，对应用程序进行全面的安全检测。

六、总结

在PHP开发中，针对复杂SQL查询语句防止注入是保障系统安全的关键。通过使用预处理语句、输入验证和过滤、限制数据库用户权限以及定期更新和维护等技巧，可以有效地降低SQL注入攻击的风险。开发者应该始终保持警惕，不断学习和掌握新的安全技术，确保应用程序的安全性。

同时，要养成良好的编程习惯，对用户输入进行严格的验证和过滤，避免直接将用户输入拼接到SQL语句中。只有这样，才能构建出安全可靠的Web应用程序。