如何利用PHP函數(shù)解決SQL injection

這篇文章主要介紹“如何利用PHP函數(shù)解決SQL injection”，在日常操作中，相信很多人在如何利用PHP函數(shù)解決SQL injection問題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”如何利用PHP函數(shù)解決SQL injection”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

　　作為一個(gè)開發(fā)者，你不知道每個(gè)用戶的magic_quotes_gpc是On還是Off，如果把全部的數(shù)據(jù)都用上addslashes()，那不是“濫殺無辜”了?假如magic_quotes_gpc=On，并且又用了addslashes()函數(shù)，那讓我們來看看：

　　//如果從表單提交一個(gè)變量$_POST['message']，內(nèi)容為Tom'sbook

　　//這此加入連接MySQL數(shù)據(jù)庫的代碼，自己寫吧

　　//在$_POST['message']的敏感字符前加上反斜杠

　　$_POST['message']=addslashes($_POST['message']);

　　//由于magic_quotes_gpc=On，所以又一次在敏感字符前加反斜杠

　　$sql="INSERTINTOmsg_tableVALUE('$_POST[message]');";

　　//發(fā)送請(qǐng)求，把內(nèi)容保存到數(shù)據(jù)庫內(nèi)

　　$query=mysql_query($sql);

　　//如果你再從數(shù)據(jù)庫內(nèi)提取這個(gè)記錄并輸出，就會(huì)看到Tom\'sbook

　　?>

　　這樣的話，在magic_quotes_gpc=On的環(huán)境里，所有輸入的單引號(hào)(')都會(huì)變成(\')……

　　其實(shí)我們可以用get_magic_quotes_gpc()函數(shù)輕易地解決這個(gè)問題。當(dāng)magic_quotes_gpc=On時(shí)，該函數(shù)返回TRUE;當(dāng)magic_quotes_gpc=Off時(shí)，返回FALSE。至此，肯定已經(jīng)有不少人意識(shí)到：?jiǎn)栴}已經(jīng)解決。請(qǐng)看代碼：

　　//如果magic_quotes_gpc=Off，那就為提單提交的$_POST['message']里的敏感字符加反斜杠

　　//magic_quotes_gpc=On的情況下，則不加

　　if(!get_magic_quotes_gpc()){

　　$_POST['message']=addslashes($_POST['message']);

　　}else{}

　　?>

　　怎樣用PHP函數(shù)解決SQLinjection

　　其實(shí)說到這里，問題已經(jīng)解決。下面再說一個(gè)小技巧。

　　有時(shí)表單提交的變量不止一個(gè)，可能有十幾個(gè)，幾十個(gè)。那么一次一次地復(fù)制/粘帖addslashes()，是否麻煩了一點(diǎn)?由于從表單或URL獲取的數(shù)據(jù)都是以數(shù)組形式出現(xiàn)的，如$_POST、$_GET)?那就自定義一個(gè)可以“橫掃千軍”的函數(shù)：

　　functionquotes($content)

　　{

　　//如果magic_quotes_gpc=Off，那么就開始處理

　　if(!get_magic_quotes_gpc()){

　　//判斷$content是否為數(shù)組

　　if(is_array($content)){

　　//如果$content是數(shù)組，那么就處理它的每一個(gè)單無

　　foreach($contentas$key=>$value){

　　$content[$key]=addslashes($value);

　　}

　　}else{

　　//如果$content不是數(shù)組，那么就僅處理一次

　　addslashes($content);

　　}

　　}else{

　　//如果magic_quotes_gpc=On，那么就不處理

　　}

　　//返回$content

　　return$content;

　　}

　　?>

到此，關(guān)于“如何利用PHP函數(shù)解決SQL injection”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！