PHP表单过滤：SQL注入防范与过滤

在PHP中，防范和过滤SQL注入是非常重要的，可以通过以下几种方式来实现：

1. 使用预处理语句：使用PDO或mysqli扩展提供的预处理语句功能，可以将用户输入的数据作为参数传递给SQL查询语句，从而避免了SQL注入的风险。

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");
$stmt->bindParam(':username', $username);
$stmt->execute();

2. 使用参数化查询：使用PDO或mysqli扩展提供的参数化查询功能，将用户输入的数据作为参数传递给SQL查询语句，而不是将其直接拼接到查询语句中。

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$username]);

3. 使用过滤函数：对用户输入的数据进行过滤，去除可能存在的SQL注入代码。PHP提供了一些过滤函数，如mysqli_real_escape_string和filter_var等。

$username = mysqli_real_escape_string($conn, $_POST['username']);

4. 使用白名单验证：对用户输入的数据进行白名单验证，只接受预定义的合法输入，拒绝其他非法输入。

$allowed_values = ['value1', 'value2', 'value3'];
if (!in_array($input, $allowed_values)) {
    // 非法输入
}

5. 对用户输入进行验证：在接受用户输入之前，对其进行验证，确保其符合预期的格式和内容。可以使用正则表达式或其他验证函数来实现。

if (!preg_match('/^[a-zA-Z0-9]+$/', $input)) {
    // 非法输入
}

总之，无论使用哪种方式，都应该始终将用户输入的数据视为不可信任的，并采取适当的措施来防范和过滤SQL注入。