php对sql injection的防范

对http request过来的数据，凡是含有单引号，双引号，反斜线等都进行加斜线处理。防止进行注入操作。

/* 堵SQL漏洞 */ function quotes($content){ //如果magic_quotes_gpc=Off，那么就开始处理 if (!get_magic_quotes_gpc()) { //判断$content是否为数组 if (is_array($content)) { //如果$content是数组，那么就处理它的每一个单无 foreach ($content as $key=>$value) { $content[$key] = mysql_real_escape_string($value); } } else { //如果$content不是数组，那么就仅处理一次 $content = mysql_real_escape_string($content); } } //返回$content return $content; }

当传递过来的参数是一个id的话。那么我们可以直接用 $id = intval($_GET('id'));进行int型处理（用settype也行）。

 

网上也有人是对其关键字过滤进行处理的，如：

function inject_check($sql_str){ return eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file|outfile', $sql_str); // 进行过滤 }

我觉得此方法不可取是因为我在一个大的输入框里POST过来的数据或多或少都包含这些关键字，难道杀一儆百？虽然这样更安全，但不方便。

 

其实也可以用codeigniter里的输入和安全类提供的那个CI类就可以了，很强大。

http://codeigniter.org.cn/user_guide/libraries/input.html

 

所以我采用上一个方法，如果上一个方法有上面不好之处或者疑问，可以留言讨论。：）