溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

php怎樣防sql注入

發(fā)布時(shí)間:2020-11-03 10:29:05 來源:億速云 閱讀:147 作者:小新 欄目:編程語言

小編給大家分享一下php怎樣防sql注入,希望大家閱讀完這篇文章后大所收獲,下面讓我們一起去探討吧!

php防sql注入的方法:1、使用mysql_real_escape_string方法轉(zhuǎn)義SQL語句中使用的字符串中的特殊字符;2、打開magic_quotes_gpc來防止SQL注入;3、通過自定義函數(shù)防sql注入。

PHP+Mysql防止SQL注入的方法

這篇文章介紹的內(nèi)容是關(guān)于PHP+Mysql防止SQL注入的方法:

方法一:

mysql_real_escape_string -- 轉(zhuǎn)義 SQL 語句中使用的字符串中的特殊字符,并考慮到連接的當(dāng)前字符集 !

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and
password='". mysql_real_escape_string($pw)."' limit 1";

方法二:

打開magic_quotes_gpc來防止SQL注入。php.ini中有一個(gè)設(shè)置:magic_quotes_gpc = Off這個(gè)默認(rèn)是關(guān)閉的,如果它打開后將自動(dòng)把用戶提交對(duì)sql的查詢進(jìn)行轉(zhuǎn)換,比如把 ' 轉(zhuǎn)為 \'等,對(duì)于防止sql注射有重大作用。

如果magic_quotes_gpc=Off,則使用addslashes()函數(shù)。

方法三:

自定義函數(shù)

/**
* 防止sql注入自定義方法一
* author: xiaochuan
* @param: mixed $value 參數(shù)值
*/ 
function check_param($value=null) { 
        #  select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile
    $str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
  
    if(!$value) {
  
        exit('沒有參數(shù)!'); 
  
    }elseif(eregi($str, $value)) { 
  
        exit('參數(shù)非法!');
  
    }
  
    return true; 
} 
   
  
  
  
  
  
  
/**
* 防止sql注入自定義方法二
* author: xiaochuan
* @param: mixed $value 參數(shù)值
*/
function str_check( $value ) { 
  
    if(!get_magic_quotes_gpc()) { 
  
        // 進(jìn)行過濾 
        $value = addslashes($value); 
  
    } 
  
    $value = str_replace("_", "\_", $value); 
  
    $value = str_replace("%", "\%", $value); 
       
   return $value; 
} 
   
  
  
  
  
  
/**
* 防止sql注入自定義方法三
* author: xiaochuan
* @param: mixed $value 參數(shù)值
*/
function post_check($value) { 
  
    if(!get_magic_quotes_gpc()) {
  
        // 進(jìn)行過濾  
        $value = addslashes($value);
  
    } 
  
    $value = str_replace("_", "\_", $value); 
  
    $value = str_replace("%", "\%", $value); 
  
    $value = nl2br($value); 
  
    $value = htmlspecialchars($value); 
  
    return $value; 
}

看完了這篇文章,相信你對(duì)php怎樣防sql注入有了一定的了解,想了解更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI