预防sql注入攻击怎么做？现在基于Web环境的互联网应用越来越通俗，Web攻击的手段也越来越多样化，我们需要多方位预防sql注入攻击等，以保证服务器系统的安全运行。

预防sql注入攻击的原则

1.不要随意开启生产环境中Webserver的错误显示。

2.不要信任来自用户端的变量输入，有固定格式的变量一定要严格检查对应的格式，没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。

3.使用预编译绑定变量的SQL语句，做好数据库帐号权限管理，严格加密处理用户的机密信息。

预防sql注入攻击的措施

检查变量数据类型和格式

如果你的SQL语句是类似where id={$id}这种形式，数据库里所有的id都是数字，那么就应该在SQL被执行前，检查保证变量id是int类型；如果是接受邮箱，那就应该检查并严格保证变量一定是邮箱的格式，其他的类型比如日期、时间等也是一个道理。

只要是有固定格式的变量，在SQL语句执行前，应该严格按照固定格式去检查，保证变量是我们预想的格式，这样很大程度上可以避免SQL注入攻击。

过滤特殊符号

对于无法确定固定格式的变量，一定要进行特殊符号过滤或转义处理。以PHP为例，通常是采用addslashes函数，它会在指定的预定义字符前添加反斜杠转义，这些预定义的字符是：单引号 (‘) 双引号 (“) 反斜杠 () NULL。

绑定变量，使用预编译语句

MySQL的mysqli驱动提供了预编译语句的支持，不同的程序语言，都分别有使用预编译语句的方法，数据库信息采用加密传输协议更安全。

以上是关于预防sql注入攻击的介绍，融亿云ddos高防体系，能帮助用户抵御多种网络攻击，保证业务正常运行。