码迷,mamicode.com
首页 > 数据库 > 详细

网站防止sql注入

时间:2018-09-08 11:46:27      阅读:215      评论:0      收藏:0      [点我收藏+]

标签:cape   where   引用   sql语句   方法   调用   bsp   原理   HERE   

防止sql注入代码:(1)修改php.ini magic_quotes_gpc=Off,打开开关,不常用;

                             (2)获取到参数后,调用$username = addslashes($username);

                                     说明:string addslashes ( string $str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(‘)、双引号(")、反斜线(\)与 NUL( NULL 字符)。 举例:用户在name中输入‘ or 1=1#,其中#是sql中的注释,#会过滤sql中的where校验等,而or 1=1恒真,就会造成返回所有用户列表。

                             (3)mysql_escape_string();原理和(2)差不多;

总结:

登录防sql注入的方法: 1、修改php.ini配置文件中magic_quotes_gpc=On (用单引号引用用户输入的数据)(不实用)

                                     2、使用函数addSlashes() (在预定义字符之前添加反斜杠)

                                     3、使用mysql_escape_string() (在SQL语句特殊字符前添加反斜杠)

 

来源:https://www.imooc.com/video/2754

网站防止sql注入

标签:cape   where   引用   sql语句   方法   调用   bsp   原理   HERE   

原文地址:https://www.cnblogs.com/laijinquan/p/9608075.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!