SQL注入之基础防御
1、魔术引号
魔术引号(Magic Quote)是一个自动将进入 PHP 脚本的数据进行转义的过程。
最好在编码时不要转义而在运行时根据需要而转义。
魔术引号:
在php.ini文件内找到
magic_quotes_gpc = On 开启
将其改为
magic_quotes_gpc = Off 关闭
2、内置函数
做数据类型的过滤
is_int()等
addslashes()
mysql_real_escape_string()
mysql_escape_string()
3、自定义关键字
str_replace()
其他安全防护软件 WAF …