PHP 中如何安全地处理 GET 参数并防止 SQL 注入

php 不支持在双引号字符串的花括号插值中直接使用空合并运算符（??）或空安全操作符；必须先将变量解构并校验，再通过预处理语句安全执行 sql 查询。

php 不支持在双引号字符串的花括号插值中直接使用空合并运算符（??）或空安全操作符；必须先将变量解构并校验，再通过预处理语句安全执行 sql 查询。

在 PHP 中，字符串内的花括号插值（如 "{$var}"）仅支持简单变量、变量属性访问或带括号的表达式，但不支持 ??、?:、-> 方法调用或数组下标带默认值的复合表达式。因此以下写法均会报错或产生意外行为：

// ❌ 语法错误：无法在插值中使用 ?? 运算符$sql = "SELECT * FROM `news` WHERE `id` = {$_GET['id'] ?? null}";// ❌ 无效且危险：@抑制错误 ≠ 安全默认值，且仍无法解析 ?? $sql = "SELECT * FROM `news` WHERE `id` = {@$_GET['id']}";// ❌ 危险！直接拼接用户输入，极易导致 SQL 注入$sql = "SELECT * FROM `news` WHERE `id` = {$_GET['id']}";

✅ 正确做法是：分离逻辑与数据，显式提取、校验、绑定。推荐使用 PDO 或 MySQLi 的预处理语句（Prepared Statements），这是防御 SQL 注入的黄金标准：

// ✅ 安全、清晰、符合现代 PHP 实践$id = $_GET['id'] ?? null; // 使用 ?? 获取默认值// 类型校验（可选但强烈建议）if (!is_numeric($id) || (int)$id <= 0) {    die('Invalid ID');}// 使用预处理语句防止注入$stmt = $pdo->prepare("SELECT * FROM `news` WHERE `id` = ?");$stmt->execute([$id]);$result = $stmt->fetch();

⚠️ 注意事项：

• 永远不要拼接用户输入到 SQL 字符串中——无论是否加引号、是否用 ?? 或 @。
• @ 错误抑制符不能替代空合并逻辑，它仅屏蔽 Notice/Warning，不提供默认值，且影响调试。
• $_GET 数据始终为字符串类型，需显式转换（如 (int) 或 filter_var($id, FILTER_VALIDATE_INT)）。
• 若允许空 ID 表示“不限制”，应改用条件构建查询，而非传入 NULL 到 = ?（因 id = NULL 永远为 false，应使用 IS NULL 或动态 WHERE 子句）。

? 总结：PHP 插值语法简洁但能力有限；安全永远优先于写法“炫技”。先解构、再验证、最后绑定——三步走，才是健壮 Web 应用的基石。

立即学习“PHP免费学习笔记（深入）”；