最全PHP防止sql注入方法

转载 2015年11月19日 16:02:13

(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 

使用方法如下:


  1. $sql = "select count(*) as ctr from users where username
  2. ='".mysql_real_escape_string($username)."' and
  3. password='". mysql_real_escape_string($pw)."' limit 1";

使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入。


(2) 打开magic_quotes_gpc来防止SQL注入

php.ini中有一个设置:magic_quotes_gpc = Off
  这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
  比如把 ' 转为 \'等,对于防止sql注射有重大作用。

     如果magic_quotes_gpc=Off,则使用addslashes()函数


(3)自定义函数

  1. function inject_check($sql_str) {
  2. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
  3. }
  4. function verify_id($id=null) {
  5. if(!$id) {
  6. exit('没有提交参数!');
  7. } elseif(inject_check($id)) {
  8. exit('提交的参数非法!');
  9. } elseif(!is_numeric($id)) {
  10. exit('提交的参数非法!');
  11. }
  12. $id = intval($id);
  13. return $id;
  14. }
  15.  
  16. function str_check( $str ) {
  17. if(!get_magic_quotes_gpc()) {
  18. $str = addslashes($str); // 进行过滤
  19. }
  20. $str = str_replace("_", "\_", $str);
  21. $str = str_replace("%", "\%", $str);
  22. return $str;
  23. }
  24.  
  25. function post_check($post) {
  26. if(!get_magic_quotes_gpc()) {
  27. $post = addslashes($post);
  28. }
  29. $post = str_replace("_", "\_", $post);
  30. $post = str_replace("%", "\%", $post);
  31. $post = nl2br($post);
  32. $post = htmlspecialchars($post);
  33. return $post;
  34. }

PHP防止SQL注入

我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数:代码如下:function injCheck($sql_str) { $check = preg_m...
  • loveinc
  • loveinc
  • 2017年03月29日 10:22
  • 550

php 防止sql注入的简单方法

您可以使用PHP的功能,如函数stripslashes()和addslashes(),mysql_real_escape_string()等,使安全的SQL查询。 以下是安全的SQL语句,使用P...
  • shewilm
  • shewilm
  • 2016年08月09日 14:27
  • 965

如何在PHP中防止SQL注入?

如何在PHP中防止SQL注入? stackoverflow上php中得票最高的一个问题,原文链接 http://stackoverflow.com/questions/60174/how-c...
  • gusgao
  • gusgao
  • 2016年08月17日 15:20
  • 8859

php自带的几个防止sql注入的函数规则

SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录...
  • su_dong
  • su_dong
  • 2016年07月20日 19:07
  • 1774

PHP安全编程:防止SQL注入

SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞,一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义...
  • come_on_air
  • come_on_air
  • 2017年06月16日 13:50
  • 166

在PHP中使用 mysqli 并防SQL注入

自从 php5 推出 mysqli 后就开始不提倡使用 mysql_ 开头的接口了,现在使用 mysql_connet 通常调试的时候会报警告说这个不该用 mysqli 使用起来其实更简单 $ur...
  • u013802033
  • u013802033
  • 2015年01月28日 16:44
  • 4039

关于php 防止SQL注入的一些总结

【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/ph...
  • DannyIsCoder
  • DannyIsCoder
  • 2017年08月01日 13:41
  • 291

PHP + Mysql 登录功能防止SQL注入的一个办法

最近在了解SQL注入,发现很多人登录功能都是同时使用用户输入的username和password,组合到一条sql语句里面,查询判断有无结果来判定是否可登录。例如下面: ...
  • love2377
  • love2377
  • 2017年09月07日 15:42
  • 274

防止SQL注入的五种方法

一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQ...
  • qq_37787456
  • qq_37787456
  • 2017年05月09日 15:56
  • 1131

PHP PDO 防止SQL注入

使用PDO的好处: 1> 防止SQL注入 2> 提高执行效率 每条SQL执行前,MYSQL数据库都需要先进行编译(即便是一个空格也可能引起重新编译)。在循环执行多条数据时,使用prepare方式传入不...
  • yyt8yyt8
  • yyt8yyt8
  • 2016年03月28日 10:41
  • 1027
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:最全PHP防止sql注入方法
举报原因:
原因补充:

(最多只允许输入30个字)