php防止mysql注入

php防止mysql注入

1、PHP预定义字符是：单引号（’）、双引号（”）、反斜杠（\）、NULL

注释：默认地，PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()，即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes()，因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

2、mysql注入所必须的两个条件：

（1）没有过滤（用mysql_real_escape_string()进行过滤）

（2）没有转义（PHP自带转义magic_quotes_gpc()=on，如果关闭，则可以用addslashes()进行转义）

Php面对传值的三个安全过滤步骤：

1、trim()：函数过滤掉头和尾的空格

2、Htmlspecialchars()：函数把预定义字符串转化为实体，可以防止因为PHP_SELF带来的XSS攻击

3、Stripslashes()：去掉反斜杠

4、Addslashes()：添加反斜杠

php防注入安全过滤函数：

function check_input($data){
//对特殊符号添加反斜杠
$data = addslashes($data);
//判断自动添加反斜杠是否开启
if(get_magic_quotes_gpc()){
//去除反斜杠
$data = stripslashes($data);
}
//把'_'过滤掉
$data = str_replace("_", "\_", $data);
//把'%'过滤掉
$data = str_replace("%", "\%", $data);
//把'*'过滤掉
$data = str_replace("*", "\*", $data);
//回车转换
$data = nl2br($data);
//去掉前后空格
$data = trim($data);
//将HTML特殊字符转化为实体
$data = htmlspecialchars($data);
return $data;
}