一、 防止注入的几种办法
其实原来就是我们需要过滤一些我们常见的关键字和符合如:
Select,insert,update,delete,and,*,等等
例子:
1
function
inject_check(
$sql_str
) {
2
3 return eregi ( ' select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file
4
5 |outfile ' , $sql_str ); // 进行过滤
6
7 }
2
3 return eregi ( ' select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file
4
5 |outfile ' , $sql_str ); // 进行过滤
6
7 }
或者是通过系统函数间的过滤特殊符号
Addslashes(需要被过滤的内容)
二、 PHP其他地方安全设置
1、register_globals = Off 设置为关闭状态
2、SQL语句书写时尽量不要省略小引号和单引号
Select * From Table Where id=2 (不规范)
Select * From ·Table· Where ·id·=’2’ (规范)
3、正确的使用 $_POST $_GET $_SESSION 等接受参数,并加以过滤
4、提高数据库命名技巧,对于一些重要的字段可根据程序特点命名
5、对于常用方法加以封装,避免直接暴露SQL语句