zoukankan      html  css  js  c++  java
  • PHP防止SQL注入的方法

    菜鸟今天刚刚学习PHP和SQL方面的内容,感觉坑比较深,做一下简单的记录,欢迎批评交流。

    主要有两种思路一种是过滤,一种是使用占位符,据说第二种可以根本解决SQL注入,本人涉猎不深,还有待研究。

    下面是过滤思路的示例代码,需要注意以下几点:

    1.判断数据类型加引号,防止被识别为数字。

    2.使用stripslashes()转义/等

    3.用real_escape_string()过滤'等(使用前要注意设置字符集)

    4.最后加上了HTML编码的函数htmlentities(),防止XSS。

    此外还要注意设置表、列的名字不被人猜到,访问控制,防止二次注入,设置白名单过滤作为选项的输入等。

    网上还有很多其他资料,这里只是简单记录一个纲要,欢迎补充要注意的纲要点。

     1 $conn = new mysqli($hn, $un, $pw, $db);
     2 
     3 //设置字符集    
     4 if (!$conn->set_charset('utf8')) {
     5         printf("Error loading character set utf8: %s
    ", $conn->error);
     6         die("gg");
     7     } else {
     8         printf("Current character set: %s
    ", $conn->character_set_name());
     9     }
    10 //
    11   function get_post($conn, $var)
    12   {
    13       $string = $_POST[$var];
    14       if (get_magic_quotes_gpc()) 
    15           $string = stripslashes($string);
    16       if (!is_numeric($string))
    17       {
    18           $string = "'" . $conn->real_escape_string($string) . "'";
    19       }
    20       return htmlentities($string);
    21     
    22   }
  • 相关阅读:
    天平天国和诗,和远方,和苟且
    ui设计师做好这几点,产品经理准闭嘴
    谈谈个人视觉创意的学习经验
    保持觉知
    第37周本人进步点
    扒一扒万恶的导航网站
    16年第四本《简单的逻辑学》
    hey,开通个人公众号啦!
    今朝有酒今朝醉,也是一种理性-附个人心得
    元素的定位
  • 原文地址:https://www.cnblogs.com/ascii0x03/p/4468921.html
Copyright © 2011-2022 走看看