最全PHP防止sql注入方法

转载 2015年11月19日 16:02:13

(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 

使用方法如下:


  1. $sql = "select count(*) as ctr from users where username
  2. ='".mysql_real_escape_string($username)."' and
  3. password='". mysql_real_escape_string($pw)."' limit 1";

使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。


(2) 打开magic_quotes_gpc来防止SQL注入

php.ini中有一个设置:magic_quotes_gpc = Off
  这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
  比如把 ' 转为 \'等,对于防止sql注射有重大作用。

     如果magic_quotes_gpc=Off,则使用addslashes()函数


(3)自定义函数

  1. function inject_check($sql_str) {
  2. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
  3. }
  4. function verify_id($id=null) {
  5. if(!$id) {
  6. exit('没有提交参数!');
  7. } elseif(inject_check($id)) {
  8. exit('提交的参数非法!');
  9. } elseif(!is_numeric($id)) {
  10. exit('提交的参数非法!');
  11. }
  12. $id = intval($id);
  13. return $id;
  14. }
  15.  
  16. function str_check( $str ) {
  17. if(!get_magic_quotes_gpc()) {
  18. $str = addslashes($str); // 进行过滤
  19. }
  20. $str = str_replace("_", "\_", $str);
  21. $str = str_replace("%", "\%", $str);
  22. return $str;
  23. }
  24.  
  25. function post_check($post) {
  26. if(!get_magic_quotes_gpc()) {
  27. $post = addslashes($post);
  28. }
  29. $post = str_replace("_", "\_", $post);
  30. $post = str_replace("%", "\%", $post);
  31. $post = nl2br($post);
  32. $post = htmlspecialchars($post);
  33. return $post;
  34. }

相关文章推荐

php中防止SQL注入的方法

  • 2014年09月19日 20:15
  • 11KB
  • 下载

两种方法php汉字转拼音-最全

  • 2016年08月26日 15:12
  • 76KB
  • 下载

最全的竖转横的SQL解释方法

最全的竖转横的SQL解释方法   2009-12-08 22:14:27|  分类: sql& mysql&# |  标签: |字号大中小 订阅 普通行列转换 ...
  • wem520
  • wem520
  • 2011年11月08日 15:04
  • 5167

php中防止SQL注入的最佳解决方法(预备义语句和参数化查询)

转载自 【http://www.jb51.net/article/36042.htm】 如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: 复制...
  • fanblog
  • fanblog
  • 2016年09月19日 09:51
  • 2143

php中防止SQL注入的最好方法是什么?

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input']; mysql...
  • hil2000
  • hil2000
  • 2012年10月04日 13:27
  • 8173

php中防止SQL注入的方法

【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/...

PHP防止SQL注入的方法(2)

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子:$unsafe_variable = $_POST['user_input']; mysql_quer...

PHP防止SQL注入方法

PHP防SQL注入方法

php:输入值/表单提交参数过滤,防止sql注入或非法攻击的方法

php:输入值/表单提交参数过滤,防止sql注入或非法攻击的方法

php中防止SQL注入的最佳解决方法

本篇文章介绍了,php中防止SQL注入的最佳解决方法。需要的朋友参考下 如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: 复制代码代码...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:最全PHP防止sql注入方法
举报原因:
原因补充:

(最多只允许输入30个字)