PHP防止SQL注入的方法
2015-04-30 14:57
465 查看
菜鸟今天刚刚学习PHP和SQL方面的内容,感觉坑比较深,做一下简单的记录,欢迎批评交流。
主要有两种思路一种是过滤,一种是使用占位符,据说第二种可以根本解决SQL注入,本人涉猎不深,还有待研究。
下面是过滤思路的示例代码,需要注意以下几点:
1.判断数据类型加引号,防止被识别为数字。
2.使用stripslashes()转义/等
3.用real_escape_string()过滤'等(使用前要注意设置字符集)
4.最后加上了HTML编码的函数htmlentities(),防止XSS。
此外还要注意设置表、列的名字不被人猜到,访问控制,防止二次注入,设置白名单过滤作为选项的输入等。
网上还有很多其他资料,这里只是简单记录一个纲要,欢迎补充要注意的纲要点。
主要有两种思路一种是过滤,一种是使用占位符,据说第二种可以根本解决SQL注入,本人涉猎不深,还有待研究。
下面是过滤思路的示例代码,需要注意以下几点:
1.判断数据类型加引号,防止被识别为数字。
2.使用stripslashes()转义/等
3.用real_escape_string()过滤'等(使用前要注意设置字符集)
4.最后加上了HTML编码的函数htmlentities(),防止XSS。
此外还要注意设置表、列的名字不被人猜到,访问控制,防止二次注入,设置白名单过滤作为选项的输入等。
网上还有很多其他资料,这里只是简单记录一个纲要,欢迎补充要注意的纲要点。
$conn = new mysqli($hn, $un, $pw, $db); //设置字符集 if (!$conn->set_charset('utf8')) { printf("Error loading character set utf8: %s\n", $conn->error); die("gg"); } else { printf("Current character set: %s\n", $conn->character_set_name()); } // function get_post($conn, $var) { $string = $_POST[$var]; if (get_magic_quotes_gpc()) $string = stripslashes($string); if (!is_numeric($string)) { $string = "'" . $conn->real_escape_string($string) . "'"; } return htmlentities($string); }
相关文章推荐
- CI框架全局防止SQL注入(防止XSS攻击)的方法 分类: php CI框架 防SQL注入 防XSS攻击 2014-02-10 17:04 918人阅读 评论(0) 收藏
- php中防止SQL注入的最好方法是什么?
- php项目防止sql注入的方法
- PHP登录环节防止sql注入的方法浅析
- php中防止SQL注入的方法
- php中防止SQL注入的方法
- php中防止SQL注入的方法
- 探讨php中防止SQL注入最好的方法是什么
- php中防止SQL注入的最佳解决方法
- PHP防止SQL注入方法
- PHP防止SQL注入的方法
- php中防止SQL注入的方法
- PHP中防止SQL注入方法详解
- php中防止SQL注入的方法
- 转:php中防止SQL注入的方法
- php中防止SQL注入的最佳解决方法
- 浅析php过滤html字符串,防止SQL注入的方法
- php中防止SQL注入的方法
- 探讨php中防止SQL注入最好的方法是什么
- 转:php中防止SQL注入的方法