PHP防止SQL注入的方法
时间:2022-05-08
本文章向大家介绍PHP防止SQL注入的方法,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
菜鸟今天刚刚学习PHP和SQL方面的内容,感觉坑比较深,做一下简单的记录,欢迎批评交流。
主要有两种思路一种是过滤,一种是使用占位符,据说第二种可以根本解决SQL注入,本人涉猎不深,还有待研究。
下面是过滤思路的示例代码,需要注意以下几点:
1.判断数据类型加引号,防止被识别为数字。
2.使用stripslashes()转义/等
3.用real_escape_string()过滤'等(使用前要注意设置字符集)
4.最后加上了HTML编码的函数htmlentities(),防止XSS。
此外还要注意设置表、列的名字不被人猜到,访问控制,防止二次注入,设置白名单过滤作为选项的输入等。
网上还有很多其他资料,这里只是简单记录一个纲要,欢迎补充要注意的纲要点。
1 $conn = new mysqli($hn, $un, $pw, $db);
2
3 //设置字符集
4 if (!$conn->set_charset('utf8')) {
5 printf("Error loading character set utf8: %sn", $conn->error);
6 die("gg");
7 } else {
8 printf("Current character set: %sn", $conn->character_set_name());
9 }
10 //
11 function get_post($conn, $var)
12 {
13 $string = $_POST[$var];
14 if (get_magic_quotes_gpc())
15 $string = stripslashes($string);
16 if (!is_numeric($string))
17 {
18 $string = "'" . $conn->real_escape_string($string) . "'";
19 }
20 return htmlentities($string);
21
22 }
- php概述
- php教程
- php环境搭建
- PHP书写格式
- php变量
- php常量
- PHP注释
- php数组
- php字符串 string
- PHP整型 integer
- PHP浮点型 float
- php布尔型
- php数据类型之数组
- php数据类型之对象
- php数据类型之null
- php数据类型之间的转换
- php运算符
- php表达式
- PHP循环控制
- PHP流程控制
- php函数
- php全局变量
- PHP魔术变量
- php命名空间
- php 日期
- PHP包含文件
- php文件
- PHP 文件上传
- php Cookies
- php Sessions
- php email
- php安全email
- php错误处理
- PHP异常处理
- php过滤器
- PHP 高级过滤器
- php json
- php 表单
- PHP MySQL 简介
- PHP 连接 MySQL
- php创建数据库
- php 创建表
- php mysq 插入数据
- PHP MySQL 插入多条数据
- PHP MySQL 预处理语句
- php mysql 读取数据
- php mysql where
- PHP MySQL Order By
- PHP MySQL Update
- PHP MySQL Delete
- php ODBC