PHP简单预防sql注入的方法

2024-05-04 23:50:31

字体：大中小

来源：转载

供稿：网友

本文实例讲述了PHP简单预防sql注入的方法。分享给大家供大家参考，具体如下：

出现sql注入一般都是因为语法不规范不严谨造成的，问题出现在sql语句上，而起决定性的是quote（'）。如下：

$sql = "delete from table where id ='$id'" ;

正常提交的话就是删除一条数据，若id提交的是（1 ' or 1 #）,那么sql语句就变成了

delete from table where id = '1'or 1 #';

这样的话就会把整个表给删掉，造成无法挽回的结果。

既然问题出现在quote上，那么只要将其转义即可（/'）

php提供两个函数使用

addslashes($str)//建议使用下面的，可以避免出现字符集问题mysql_real_escape_string($str,$link)//避免整型数据可能不被sql增加引号，强制在转换后的数据使用引号包裹function($str){  return "'".mysql_real_escape_string($str,$this->link)."'";}

希望本文所述对大家PHP程序设计有所帮助。

注：相关教程知识阅读请移步到PHP教程频道。

上一篇：PHP7.1方括号数组符号多值复制及指定键值赋值用法分析

下一篇：PHP页面跳转操作实例分析(header方法)