PHP防范SQL注入的具体方法详解(测试通过)

一个优秀的PHP程序员除了要能顺利的编写代码，还需要具备使程序处于安全环境下的能力。今天我们要向大家讲解的是有关PHP防范SQL注入的相关方法。

说到网站安全就不得不提到SQL注入（SQL Injection），如果你用过ASP，对SQL注入一定有比较深的理解，PHP的安全性相对较高，这是因为MYSQL4以下的版本不支持子语句，而且当php.ini里的 magic_quotes_gpc 为On 时。

提交的变量中所有的 ' (单引号), " (双引号), / (反斜线) and 空字符会自动转为含有反斜线的转义字符，给SQL注入带来不少的麻烦。

请看清楚：“麻烦”而已~这并不意味着PHP防范SQL注入，书中就讲到了利用改变注入语句的编码来绕过转义的方法，比如将SQL语句转成ASCII编码（类似：char(100,58,92,108,111,99,97,108,104,111,115,116…)这样的格式），或者转成16进制编码，甚至还有其他形式的编码，这样以来，转义过滤便被绕过去了，那么怎样防范呢：

a． 打开magic_quotes_gpc或使用addslashes()函数

在新版本的PHP中，就算magic_quotes_gpc打开了，再使用addslashes()函数，也不会有冲突，但是为了更好的实现版本兼容，建议在使用转移函数前先检测magic_quotes_gpc状态，或者直接关掉，代码如下：

PHP防范SQL注入的代码

代码如下:
// 去除转义字符  
function stripslashes_array($array) {  
if (is_array($array)) {  
foreach ($array as $k => $v) {  
$array[$k] = stripslashes_array($v);  
}  
} else if (is_string($array)) {  
$array = stripslashes($array);  
}  
return $array;  
}  
@set_magic_quotes_runtime(0);  
// 判断 magic_quotes_gpc 状态  
if (@get_magic_quotes_gpc()) {  
$_GET = stripslashes_array($_GET);  
$_POST = stripslashes_array($_POST);  
$_COOKIE = stripslashes_array($_COOKIE);  
}

去除magic_quotes_gpc的转义之后再使用addslashes函数，代码如下：

PHP防范SQL注入的代码

代码如下:
$keywords = addslashes($keywords);
$keywords = str_replace("_","/_",$keywords);//转义掉”_”
$keywords = str_replace("%","/%",$keywords);//转义掉”%”

后两个str_replace替换转义目的是防止黑客转换SQL编码进行攻击。

b． 强制字符格式（类型）

在很多时候我们要用到类似xxx.php?id=xxx这样的URL，一般来说$id都是整型变量，为了防范攻击者把$id篡改成攻击语句，我们要尽量强制变量，代码如下：

PHP防范SQL注入的代码

$id=intval($_GET['id']);

当然，还有其他的变量类型，如果有必要的话尽量强制一下格式。

c． SQL语句中包含变量加引号

这一点儿很简单，但也容易养成习惯，先来看看这两条SQL语句：