社群 學習 工具庫 休閒
搜尋
繁体中文
首頁 > 後端開發 > php教程 > 主體

PHP防止SQL注入的方法(1)

WBOY
發布: 2016-07-29 09:15:00
原創
990 人瀏覽過

(1)mysql_real_escape_string – 轉義 SQL 語句中使用的字串中的特殊字元,並考慮到連接的當前字元集
使用方法如下:

<code>$sql = "<span><span>select</span><span>count</span>(*) <span>as</span> ctr <span>from</span> users <span>where</span> username =<span>'".mysql_real_escape_string($username)."'</span><span>and</span> password=<span>'". mysql_real_escape_string($pw)."'</span> limit <span>1</span><span>";</span></span></code>
登入後複製

使用 

<code><span><span>mysql_real_escape_string</span><span>()</span></span></code>
登入後複製

作為使用者輸入的包裝器,就可以避免使用者輸入中的任何惡意 SQL 注入。
(2) 開啟magic_quotes_gpc來防止SQL注入
php.ini中有一個設定:magic_quotes_gpc = Off
  這個預設是關閉的,如果它打開後將自動把用戶提交對sql的查詢進行轉換,
  例如把 ’ 轉為 ’等,對於防止sql注射有重大作用。
如果magic_quotes_gpc=Off,則使用addslashes()函數
(3)自訂函數

<code><span><span>function</span><span>inject_check</span><span>(<span>$sql_str</span>)</span> {</span><span>return</span> eregi(<span>'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile'</span>, <span>$sql_str</span>);
} 

<span><span>function</span><span>verify_id</span><span>(<span>$id</span>=null)</span> {</span><span>if</span>(!<span>$id</span>) {
        <span>exit</span>(<span>'没有提交参数!'</span>); 
    } <span>elseif</span>(inject_check(<span>$id</span>)) { 
        <span>exit</span>(<span>'提交的参数非法!'</span>);
    } <span>elseif</span>(!is_numeric(<span>$id</span>)) { 
        <span>exit</span>(<span>'提交的参数非法!'</span>); 
    } 
    <span>$id</span> = intval(<span>$id</span>); 

    <span>return</span><span>$id</span>; 
} 


<span><span>function</span><span>str_check</span><span>( <span>$str</span> )</span> {</span><span>if</span>(!get_magic_quotes_gpc()) { 
        <span>$str</span> = addslashes(<span>$str</span>); <span>// 进行过滤 </span>
    } 
    <span>$str</span> = str_replace(<span>"_"</span>, <span>"\_"</span>, <span>$str</span>); 
    <span>$str</span> = str_replace(<span>"%"</span>, <span>"\%"</span>, <span>$str</span>); 

   <span>return</span><span>$str</span>; 
} 


<span><span>function</span><span>post_check</span><span>(<span>$post</span>)</span> {</span><span>if</span>(!get_magic_quotes_gpc()) { 
        <span>$post</span> = addslashes(<span>$post</span>);
    } 
    <span>$post</span> = str_replace(<span>"_"</span>, <span>"\_"</span>, <span>$post</span>); 
    <span>$post</span> = str_replace(<span>"%"</span>, <span>"\%"</span>, <span>$post</span>); 
    <span>$post</span> = nl2br(<span>$post</span>); 
    <span>$post</span> = htmlspecialchars(<span>$post</span>); 

    <span>return</span><span>$post</span>; 
}</code>
登入後複製

http://www.phpddt.com/php/228.html

以上就介紹了PHP防止SQL注入的方法(1),包括了面向的內容,希望對PHP教學有興趣的朋友有幫助。

相關標籤:
magic post quotes sql str
來源:php.cn
上一篇:PHP安裝gpg擴充 下一篇:php的apc擴展淺析(四)
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
最新問題
使用Postman時POST請求正常運作,但使用React axios和Spring Boot後端時不起作用 從反應控制台我收到錯誤訊息“無法載入資源:伺服器回應狀態為500()”,指向url“:8080/api/review-add”從SpringBoot後端,我收到錯誤訊息“not-n...
來自於 2024-04-05 13:07:01
0
1
396
在Laravel中以Bootstrap模式展示AWS PDF文件 我已經下載了awsurl,例如https://xxx-xx-dev.s3.ap-south-1.amazonaws.com/std_check/655712202215174539...
來自於 2024-04-04 22:16:18
0
1
1450
無法在 Postman 中使用 JavaScript 存取發送的訊息 使用下面的程式碼,我可以在post方法中在我的MySQL表中輸入訊息,並且該資訊被記錄在表中。我也在js終端中檢查它。使用“nodeapi.js”命令,似乎註冊了最後的資訊。但是當...
來自於 2024-04-03 22:02:38
0
1
304
將新物件新增至特定現有數組名稱內,並使用索引值進行儲存 我知道最好的方法可能是將新物件保存在沒有名稱的現有數組的末尾,但我想稍微複雜一些來學習如何做到這一點,並在數組的索引值[0]而不是末尾[arr .length-1]處新增對象,而且...
來自於 2024-04-03 19:43:33
0
2
310
來自react.js的POST以GET形式到達node/js伺服器 看來我的POST請求正在我的REACT客戶端程式碼中的某處轉換為GET。這是反應碼:functionSavePatient(event){event.preventDefault(...
來自於 2024-04-03 17:22:04
0
1
331
相關專題
更多>
熱門推薦
熱門教學
更多>
相關教學
熱門推薦
最新課程
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板