防SQL注入

所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。如用在登陆表单上来到非本人登陆。

其中防止表单登陆SQL注入的主要方法有如下三种：

1.通过修改php.ini配置，将原本默认魔法引用字符mysql_escape_string=off修改为mysql_escape_string=on,可达到自动的防止SQL注入的目的（修改配置，一般不使用）

2.使用php方法中的addslashes()函数返回在预定义字符之前添加反斜杠的字符串。可以达到防SQL注入目的。如$username =addslashes($username);

3.使用mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。防止SQL注入。如$uesrname=mysql_real_escape_string($username)。

通过防SQL注入技术可以防止信息的泄露和恶意攻击，保证web安全创造一个良好的环境。