在Web开发中，PHP是一种广泛使用的服务器端脚本语言，而SQL注入是一种常见且危险的安全漏洞。攻击者通过构造恶意的SQL语句，绕过应用程序的输入验证，从而执行非法的数据库操作，可能导致数据泄露、数据篡改甚至系统崩溃。因此，了解并掌握PHP防止SQL注入的关键要点至关重要。本文将详细介绍PHP防止SQL注入的关键要点，并提供相应的代码示例。

1. 理解SQL注入的原理

SQL注入的核心原理是攻击者利用应用程序对用户输入过滤不足的漏洞，将恶意的SQL代码添加到正常的SQL语句中。例如，一个简单的登录表单，其SQL查询语句可能如下：

$sql = "SELECT * FROM users WHERE username = '".$username."' AND password = '".$password."'";

如果攻击者在用户名输入框中输入 ' OR '1'='1，密码随意输入，那么最终的SQL语句将变为：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '随意输入的密码'

由于 '1'='1' 始终为真，攻击者就可以绕过正常的身份验证，直接登录系统。

2. 使用预处理语句

预处理语句是防止SQL注入的最有效方法之一。在PHP中，PDO（PHP Data Objects）和mysqli都支持预处理语句。

2.1 PDO预处理语句示例

以下是一个使用PDO预处理语句进行用户登录验证的示例：

// 数据库连接信息
$dsn = 'mysql:host=localhost;dbname=test';
$username = 'root';
$password = 'password';

try {
    // 创建PDO对象
    $pdo = new PDO($dsn, $username, $password);
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    // 获取用户输入
    $inputUsername = $_POST['username'];
    $inputPassword = $_POST['password'];

    // 预处理SQL语句
    $sql = "SELECT * FROM users WHERE username = :username AND password = :password";
    $stmt = $pdo->prepare($sql);

    // 绑定参数
    $stmt->bindParam(':username', $inputUsername, PDO::PARAM_STR);
    $stmt->bindParam(':password', $inputPassword, PDO::PARAM_STR);

    // 执行查询
    $stmt->execute();

    // 获取结果
    $result = $stmt->fetch(PDO::FETCH_ASSOC);

    if ($result) {
        echo "登录成功";
    } else {
        echo "用户名或密码错误";
    }
} catch(PDOException $e) {
    echo "错误: ". $e->getMessage();
}

在上述示例中，使用 prepare() 方法预处理SQL语句，然后使用 bindParam() 方法绑定参数。这样，无论用户输入什么内容，都会被当作普通的字符串处理，从而避免了SQL注入的风险。

2.2 mysqli预处理语句示例

以下是使用mysqli预处理语句实现相同功能的示例：

// 数据库连接信息
$servername = "localhost";
$dbusername = "root";
$dbpassword = "password";
$dbname = "test";

// 创建连接
$conn = new mysqli($servername, $dbusername, $dbpassword, $dbname);

// 检查连接
if ($conn->connect_error) {
    die("连接失败: ". $conn->connect_error);
}

// 获取用户输入
$inputUsername = $_POST['username'];
$inputPassword = $_POST['password'];

// 预处理SQL语句
$sql = "SELECT * FROM users WHERE username = ? AND password = ?";
$stmt = $conn->prepare($sql);

// 绑定参数
$stmt->bind_param("ss", $inputUsername, $inputPassword);

// 执行查询
$stmt->execute();

// 获取结果
$result = $stmt->get_result();

if ($result->num_rows > 0) {
    echo "登录成功";
} else {
    echo "用户名或密码错误";
}

// 关闭连接
$stmt->close();
$conn->close();

同样，mysqli的预处理语句通过 prepare() 方法和 bind_param() 方法，将用户输入和SQL语句分离，有效防止了SQL注入。

3. 输入验证和过滤

除了使用预处理语句，对用户输入进行验证和过滤也是非常重要的。可以使用PHP的内置函数对用户输入进行处理。

3.1 过滤特殊字符

可以使用 htmlspecialchars() 函数对用户输入的HTML特殊字符进行转义，防止XSS攻击和SQL注入。例如：

$input = $_POST['input'];
$filteredInput = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');

3.2 验证输入类型

根据输入的预期类型进行验证，例如，如果期望输入是整数，可以使用 is_numeric() 函数进行验证：

$input = $_POST['id'];
if (is_numeric($input)) {
    // 执行相应操作
} else {
    echo "输入必须是数字";
}

3.3 使用正则表达式验证

对于复杂的输入验证，可以使用正则表达式。例如，验证邮箱地址：

$email = $_POST['email'];
if (preg_match('/^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/', $email)) {
    // 邮箱格式正确
} else {
    echo "邮箱格式不正确";
}

4. 限制数据库用户权限

为了减少SQL注入带来的危害，可以限制数据库用户的权限。只给应用程序使用的数据库用户分配必要的权限，例如，只允许其进行查询操作，而不允许进行数据修改、删除等操作。这样，即使发生SQL注入，攻击者也无法对数据库造成严重的破坏。

5. 定期更新和维护

及时更新PHP和数据库管理系统到最新版本，因为新版本通常会修复已知的安全漏洞。同时，定期对应用程序进行安全审计，检查是否存在潜在的SQL注入风险。

综上所述，防止SQL注入需要综合使用多种方法。使用预处理语句是最核心的方法，同时结合输入验证和过滤、限制数据库用户权限以及定期更新和维护等措施，可以有效提高应用程序的安全性，保护数据库免受SQL注入攻击。