# MySQL查询的安全方案 + 使用预处理语句防止SQL注入 如删除id=1的用户 ~~~ delete from user where id=1; # 在浏览器中通过get方式传递id值，GET ?id=1，如 user/delete?id=1 # 如果浏览器恶意传值。如下 user/delete?id=1 or 1=1 # 值为1= or 1=1，现在的SQL语句为： delete from user where id=1 or 1=1 # 这条语句永远成立，这条语句会将user表的数据全部删除 # 处理语句 delete from user where id=?; # MySQL会预先对这条语句进行结构解析，在传值`1 or 1=1`那么就不会再将or当成结构来解析了（prepare） ~~~ + 写入数据库的数据要进行特殊字符的转义 + 查询错误信息不要返回给用户，将错误记录到日志 > PHP端尽量使用PDO对数据库进行操作，PDO对预处理有很好的支持。MySQLi也有，但扩展性不如PDO，效率高于PDO。 # 延伸：MySQL的其他安全设置 + 定期做数据库的备份 + 不给查询用户root权限，合理分配权限 + 关闭远程访问数据的权限 + 修改root口令，不用默认口令，使用比较复杂的口令 + 删除多余的用户 + 改变root用户的名称 + 限制一般用户浏览其他库 + 限制用户对数据文件的访问权限