PHP防止SQL注入的方法

菜鸟今天刚刚学习PHP和SQL方面的内容,感觉坑比较深,做一下简单的记录,欢迎批评交流。

主要有两种思路一种是过滤,一种是使用占位符,据说第二种可以根本解决SQL注入,本人涉猎不深,还有待研究。

下面是过滤思路的示例代码,需要注意以下几点:

1.判断数据类型加引号,防止被识别为数字。

2.使用stripslashes()转义/等

3.用real_escape_string()过滤‘等(使用前要注意设置字符集)

4.最后加上了HTML编码的函数htmlentities(),防止XSS。

此外还要注意设置表、列的名字不被人猜到,访问控制,防止二次注入,设置白名单过滤作为选项的输入等。

网上还有很多其他资料,这里只是简单记录一个纲要,欢迎补充要注意的纲要点。

 1 $conn = new mysqli($hn, $un, $pw, $db);
 2 
 3 //设置字符集    
 4 if (!$conn->set_charset(‘utf8‘)) {
 5         printf("Error loading character set utf8: %s\n", $conn->error);
 6         die("gg");
 7     } else {
 8         printf("Current character set: %s\n", $conn->character_set_name());
 9     }
10 //
11   function get_post($conn, $var)
12   {
13       $string = $_POST[$var];
14       if (get_magic_quotes_gpc()) 
15           $string = stripslashes($string);
16       if (!is_numeric($string))
17       {
18           $string = "‘" . $conn->real_escape_string($string) . "‘";
19       }
20       return htmlentities($string);
21     
22   }

 

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。