php过滤sql注入关键词分析

WBOY
リリース: 2016-06-08 17:27:05
オリジナル
1369 人が閲覧しました

1.使用mysql_real_escape_string代替 addslashes对输入进行转义 2.字段值两边加上单引号

<script>ec(2);</script>

str_replace替换sql 中的 update 这种做法本身就是错误的, 原因如下:

如果sql中本来就有update字段,如以下的SQL

 代码如下 复制代码
$sql = "update content = 'update your name ..' where userid=1"

那么,你用str_replace替换的后果是什么? 只要用户提交的内容中包含有update,

delete, alter均被篡改?  这是多么可怕的事!!!

那么正确的办法是什么呢?

 代码如下 复制代码
$content = mysql教程_real_escape_string($content);
$sql = "update content = '$content' where userid=1
関連ラベル:
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のおすすめ
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート