php避免sql注入的有甚么方法

1. 使用预处理语句和绑定参数：使用PDO或mysqli扩大来履行SQL查询，使用预处理语句和绑定参数的方式来避免SQL注入。预处理语句可以确保用户输入的数据不会被解释为SQL语句的一部份，而参数绑定可以避免歹意的SQL注入攻击。
2. 输入验证和过滤：对用户输入的数据进行验证和过滤，确保只有符合预期的数据能够通过。可使用filter_var()函数来过滤和验证输入的数据，还是使用正则表达式来检查输入的格式。
3. 使用ORM框架：使用ORM（对象关系映照）框架可以帮助开发者更轻松地处理数据库操作，同时也能够自动处理SQL注入问题。ORM框架会自动转义用户输入的数据，从而避免SQL注入攻击。
4. 最小化数据库权限：将数据库用户的权限最小化，只给予其履行必要操作的权限，以限制歹意用户对数据库的攻击。
5. 使用安全的密码哈希算法：将用户密码进行哈希处理并加盐存储，以避免歹意用户通过SQL注入攻击获得到明文密码。
6. 避免动态拼接SQL查询：尽可能避免将用户输入的数据直接拼接到SQL查询中，而是使用预处理语句和绑定参数的方式来构建SQL查询。
7. 毛病信息保护：在生产环境中，不要向用户返回具体的毛病信息，以避免给攻击者提供有益的信息。可以将毛病信息记录到日志中，同时向用户返回一个统一的毛病提示。
8. 定期更新和保护：定期更新和保护利用程序和相关的库，以保持系统的安全性。数据库软件和开发框架的更新通常会修复已知的安全漏洞。
以上是一些常见的避免SQL注入的方法，但在实际开发中，还需要根据具体的情况和需求来采取适当的安全措施。