如果没有防止sql注入,那么你的网站一些重要信息就会被一些人轻易用特殊的字符登录而盗窃。
比如:
登录时的查询语句为:select *from 表名 where username=’用户名’ and password ‘密码’;
当用户输入用户名为 ‘or 1 or’ ,密码不输入,此时的查询语句为: select *from 表名 where username=”or 1 or” and password=”; 可见此时条件where语句username=” or 1返回true,true or password=”其实始终为true,所以此时条件where语句始终为true,即使不输入密码也会登录成功。
由此可见,防止sql注入是一件十分必要的事情。
PHP中防止sql注入有多种方法,我分享我习惯用的三种:
利用PHP的 addslashes (需要转义的字符串),addslashes可转义单引号,双引号, 反斜杠,NULL字符
$ad_username=addslashes($username); $ad_password=addslashes($password); $sql="select *from 表名 where username='{$ad_username}' and password='{$ad_password}'";
利用mysql提供的mysql_real_escape_string(待转换字符串,数据库连接资源)
自己写一个方法
/** * 批量转义 * @param data 需要转义的字符串或者数组 * / function deepslashes($data){ if(empty($data)){ return $data; } return is_array($data)?$array_map('deepslashes',$data):addslashes($data); }