<?php
//转义输出
$sql= "select * from web_action where uid='1 or 1=1' ";
echo mysql_real_escape_string($sql);
//转义输出
strip_tags();
htmlspecialchars();
htmlentities();
//<<>>
二、改进现有的应用程序
如果你想改进一个现有的应用程序,则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示:
1
function safe( $string ) {
2
return "'" . mysql_real_escape_string( $string ) . "'"
3
}
【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来,就可以使用这个函数来构造一个$query变量,如下所示:
view sourceprint?
1
$variety = safe( $_POST['variety'] );
2
$query = " SELECT * FROM wines WHERE variety=" . $variety;
//转义输出
$sql= "select * from web_action where uid='1 or 1=1' ";
echo mysql_real_escape_string($sql);
//转义输出
strip_tags();
htmlspecialchars();
htmlentities();
//<<>>
二、改进现有的应用程序
如果你想改进一个现有的应用程序,则使用一个简单的抽象层是最适当的。一个能够简单地"清理"你所收集的任何用户输入内容的函数可能看起来如下所示:
1
function safe( $string ) {
2
return "'" . mysql_real_escape_string( $string ) . "'"
3
}
【注意】我们已经构建了相应于值要求的单引号以及mysql_real_escape_string()函数。接下来,就可以使用这个函数来构造一个$query变量,如下所示:
view sourceprint?
1
$variety = safe( $_POST['variety'] );
2
$query = " SELECT * FROM wines WHERE variety=" . $variety;