SQL 인젝션을 방지하는 가장 완벽한 방법

(1) mysql_real_escape_string - 연결의 현재 문자 세트를 고려하여 SQL 문에 사용된 문자열의 특수 문자를 이스케이프합니다.

다음과 같이 사용됩니다:

?

1 2 3

$sql= "select count(*) asctr from users where username ='".mysql_real_escape_string($username)."'and password='". mysql_real_escape_string($pw)."'limit 1";

123

$sql= "개수( 선택 *) username='".mysql_real_escape_string($username)인 사용자의 ctr입니다. "'및비밀번호='". mysql_real_escape_string($pw)."'제한 1";

사용자 입력에 악의적인 SQL 삽입을 방지하려면

mysql_real_escape_string()

을 사용자 입력 주위의 래퍼로 사용하세요.

(2) SQL 주입을 방지하려면 Magic_quotes_gpc를 켜세요.

php.ini에 설정이 있습니다: Magic_quotes_gpc = Off

기본적으로 꺼져 있는 경우입니다. '를'로 변환하는 등 사용자가 제출한 SQL 쿼리

를 자동으로 변환하는 것은 SQL 주입을 방지하는 데 중요한 역할을 합니다.

Magic_quotes_gpc=Off인 경우 addlashes() 함수를 사용하세요

(3) Custom 함수

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40

functioninject_check($sql_str) {     returneregi('select|insert|and|or|update|delete|'|/*|*|../|./|union|into|load_file|outfile' , $sql_str); } functionverify_id($id=null) {     if(!$id) {         exit('没有提交参数！');     } elseif(inject_check($id)) {         exit('提交的参数非法！');     } elseif(!is_numeric($id )) {         exit('提交的参数非法！');     }     $id= intval($id);           return$id; } functionstr_check( $str) {     if(!get_magic_quotes_gpc()) {         $str= addslashes ($str); // 进行过滤     }     $str= str_replace("_", "_", $str);     $str= str_replace("%", "%", $str);          return$str; } functionpost_check( $post) {     if(!get_magic_quotes_gpc()) {         $post= addslashes($post);     }     $post= str_replace("_", "_", $post);     $post= str_replace("%", "%", $post);     $post = nl2br($post);     $post= htmlspecialchars($post);           return$post; }

이상에서는 모든 측면을 포함하여 SQL 주입을 방지하는 가장 완벽한 방법을 소개했습니다. PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.