php防止mysql注入
2016-01-05 10:25
573 查看
php防止mysql注入
1、PHP预定义字符是:单引号(’)、双引号(”)、反斜杠(\)、NULL注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
2、mysql注入所必须的两个条件:
(1)没有过滤(用mysql_real_escape_string()进行过滤)
(2)没有转义(PHP自带转义magic_quotes_gpc()=on,如果关闭,则可以用addslashes()进行转义)
Php面对传值的三个安全过滤步骤:
1、trim():函数过滤掉头和尾的空格
2、Htmlspecialchars():函数把预定义字符串转化为实体,可以防止因为PHP_SELF带来的XSS攻击
3、Stripslashes():去掉反斜杠
4、Addslashes():添加反斜杠
php防注入安全过滤函数:
function check_input($data){ //对特殊符号添加反斜杠 $data = addslashes($data); //判断自动添加反斜杠是否开启 if(get_magic_quotes_gpc()){ //去除反斜杠 $data = stripslashes($data); } //把'_'过滤掉 $data = str_replace("_", "\_", $data); //把'%'过滤掉 $data = str_replace("%", "\%", $data); //把'*'过滤掉 $data = str_replace("*", "\*", $data); //回车转换 $data = nl2br($data); //去掉前后空格 $data = trim($data); //将HTML特殊字符转化为实体 $data = htmlspecialchars($data); return $data; }
相关文章推荐
- 一个关于if else容易迷惑的问题
- MySQL中的integer 数据类型
- MySQL存储过程
- PHP5.2.*防止Hash冲突拒绝服务攻击的Patch
- 深入理解PHP之匿名函数
- mysql中int、bigint、smallint 和 tinyint的区别与长度
- mysql load data 导出、导入 csv
- source命令执行SQL脚本文件
- JSP/PHP基于Ajax的分页功能实现
- MySQL创建用户及权限控制
- MySQL管理数据表
- linux下mysql添加用户
- mysql procedure
- mysql触发器
- 关于PHP通过PDO用中文条件查询MySQL的问题。
- 什么是设计模式
- MySQL 备份和恢复策略
- mac下安装mysql(转载)