PHP での SQL インジェクションの防止

SQL インジェクションは通常、不規則で緩い文法によって発生します。問題は SQL ステートメントで発生し、決定的なものは quote(') です。以下の通り:
$sql = "delete from table where id ='$id'" ;
正常に送信された場合、送信された ID が (1 ’ または 1 #) の場合、SQL ステートメントは
delete from table where id = '1'or 1 #';
になります。 この場合、テーブル全体が削除され、元に戻せない結果が生じます。
引用時に問題が発生するので、それをエスケープしてください (')

• phpには、使用する2つの関数が用意されています

<code>addslashes(<span>$str</span>)
<span>//建议使用下面的，可以避免出现字符集问题</span>
mysql_real_escape_string(<span>$str</span>,<span>$link</span>)</code>

<code><span>//避免整型数据可能不被sql增加引号，强制在转换后的数据使用引号包裹</span><span><span>function</span><span>(<span>$str</span>)</span>{</span><span>return</span><span>"'"</span>.mysql_real_escape_string(<span>$str</span>,<span>$this</span>->link).<span>"'"</span>;
}</code>

').addClass('pre-numbering').hide(); $(this).addClass('has-numbering').parent().append($numbering); for (i = 1; i ').text(i)); }; $numbering.fadeIn(1700); }); });

以上、PHP における SQL インジェクションの防止について、その側面も含めて紹介しましたが、PHP チュートリアルに興味のある友人に役立つことを願っています。