防止SQL注入需以预处理语句为核心，结合输入验证、最小权限原则和错误屏蔽。使用参数化查询（如PHP+PDO、Java+JDBC）分离SQL结构与数据，避免拼接；严格校验输入类型、长度与格式，过滤特殊字符；数据库账号应限权，禁用高危功能；关闭生产环境错误显示，启用日志监控；配合WAF拦截攻击特征。多层防御可显著降低风险。

防止SQL注入是保障MySQL数据库安全的重要环节。攻击者通过在输入中插入恶意SQL代码，可能绕过认证、窃取数据甚至删除信息。要有效防范，需从开发规范、编码实践和数据库配置多方面入手。

使用预处理语句（Prepared Statements）

预处理语句是防止SQL注入最有效的方法之一。它将SQL语句结构与参数分离，确保用户输入不会被当作SQL代码执行。

• PHP + PDO 示例：使用占位符绑定参数，避免拼接SQL字符串。

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$username, $password]);

• Java + JDBC 示例：使用 PreparedStatement 设置参数。

String sql = "SELECT * FROM users WHERE email = ?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setString(1, userEmail);
ResultSet rs = ps.executeQuery();

对输入进行严格验证与过滤

所有外部输入都应视为不可信，必须进行类型、格式和长度校验。

• 对数字字段使用 intval() 或类型转换。
• 对字符串限制长度，过滤特殊字符（如单引号、分号、注释符 -- 和 #）。
• 使用正则表达式匹配合法输入模式，例如邮箱、手机号等。

最小权限原则配置数据库账户

应用程序连接数据库的账号不应使用 root 或高权限账户。

• 为应用创建专用账号，仅赋予其必要的操作权限（如只读、指定表的增删改查）。
• 禁用不必要的数据库功能，如文件操作（LOAD_FILE, INTO OUTFILE）。
• 避免在SQL中使用动态拼接表名或字段名，这类操作难以参数化，风险极高。

开启错误信息屏蔽与日志监控

生产环境中应关闭详细的数据库错误提示，防止泄露表结构等敏感信息。

• PHP 中设置 display_errors = Off，记录错误到日志文件。
• 定期审查数据库访问日志，发现异常查询行为及时响应。
• 使用Web应用防火墙（WAF）可识别并拦截典型SQL注入特征。

基本上就这些。关键在于坚持使用参数化查询，并结合输入验证和权限控制，就能大幅降低SQL注入风险。安全不是单一措施能保证的，而是层层设防的结果。