真正有效的SQL注入防护只有预处理+绑定参数:PHP中必须用PDO::prepare()+execute()或mysqli_prepare()+bind_param(),动态标识符需白名单校验,字符集须统一为utf8mb4,ORM中raw方法仍需手动防护。MySQL参数化查询必须用预处理语句直接拼接字符串进SQL,哪怕加了mysql_real_escape_string(已废弃)或addslashes,都挡不住绕过型注入。真正有效的只有预处理+绑定参数这条路。PHP里必须用PDO或mysqli的预处理接口,不能只靠"手动转义"糊弄:PDO::prepare() + PDOStatement::execute(),参数走数组传入,数据库引擎自己区分数据与语句结构mysqli_prepare() + mysqli_stmt_bind_param(),类型必须显式声明("s"、"i"、"d"),否则绑定无效别用mysqli_real_escape_string()处理用户输入后拼进SQL------它不防二阶注入,也不防宽字节注入(尤其gbk连接下)哪些地方容易漏掉参数化最常翻车的是动态字段名、表名、排序字段、LIMIT偏移量------这些不能当参数绑定,因为预处理只允许参数化**值**,不允许参数化**标识符**。比如ORDER BY ?会报错;LIMIT ?, ?中第一个?在MySQL里也不被支持(5.7+才部分支持,但不可靠)。 RedClaw 百度推出的手机端万能AI Agent助手