php+mysql如何防止sql注入
方法:php
一、预处理。(预处理语句针对SQL注入是很是有用的,由于参数值发送后使用不一样的协议,保证了数据的合法性。)html
二、mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到链接的当前字符集 !mysql
$sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_real_escape_string($pw)."' limit 1";
三、打开magic_quotes_gpc来防止SQL注入。php.ini中有一个设置:magic_quotes_gpc = Off这个默认是关闭的,若是它打开后将自动把用户提交对sql的查询进行转换,好比把 ' 转为 \'等,对于防止sql注射有重大做用。sql
若是magic_quotes_gpc=Off,则使用addslashes()函数。函数
四、自定义函数:post
/** * 防止sql注入自定义方法一 * author: xiaochuan * @param: mixed $value 参数值 */ function check_param($value=null) { # select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile $str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile'; if(!$value) { exit('没有参数!'); }elseif(eregi($str, $value)) { exit('参数非法!'); } return true; } /** * 防止sql注入自定义方法二 * author: xiaochuan * @param: mixed $value 参数值 */ function str_check( $value ) { if(!get_magic_quotes_gpc()) { // 进行过滤 $value = addslashes($value); } $value = str_replace("_", "\_", $value); $value = str_replace("%", "\%", $value); return $value; } /** * 防止sql注入自定义方法三 * author: xiaochuan * @param: mixed $value 参数值 */ function post_check($value) { if(!get_magic_quotes_gpc()) { // 进行过滤 $value = addslashes($value); } $value = str_replace("_", "\_", $value); $value = str_replace("%", "\%", $value); $value = nl2br($value); $value = htmlspecialchars($value); return $value; }
相关文章
- 1. 如何防止sql注入
- 2. mybatis是如何防止SQL注入的
- 3. MyBatis如何防止SQL注入
- 4. PreparedStatement是如何防止SQL注入的?
- 5. PHP中如何防止SQL注入
- 6. 如何在PHP中防止SQL注入?
- 7. Python中如何防止sql注入
- 8. JDBC 如何有效防止 SQL 注入
- 9. php网站如何防止sql注入?
- 10. 【转】mybatis如何防止sql注入
- 更多相关文章...
- • XSD 如何使用? - XML Schema 教程
- • SQLite 注入 - SQLite教程
- • YAML 入门教程
- • Spring Cloud 微服务实战(三) - 服务注册与发现
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章