这篇文章主要为大家展示了“PHP如何预防sql注入”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“PHP如何预防sql注入”这篇文章吧。
具体如下:
出现sql注入一般都是因为语法不规范不严谨造成的,问题出现在sql语句上,而起决定性的是quote(')。如下:
$sql = "delete from table where id ='$id'" ;
正常提交的话就是删除一条数据,若id提交的是(1 ' or 1 #),那么sql语句就变成了
delete from table where id = '1'or 1 #';
这样的话就会把整个表给删掉,造成无法挽回的结果。
既然问题出现在quote上,那么只要将其转义即可(\')
php提供两个函数使用
addslashes($str) //建议使用下面的,可以避免出现字符集问题 mysql_real_escape_string($str,$link) //避免整型数据可能不被sql增加引号,强制在转换后的数据使用引号包裹 function($str){ return "'".mysql_real_escape_string($str,$this->link)."'"; }
以上是“PHP如何预防sql注入”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
