PHP防止SQL注入的方法

ascii0x03

发布于 2018-04-12 13:02:22

1.9K0

发布于 2018-04-12 13:02:22

文章被收录于专栏：ascii0x03的安全笔记ascii0x03的安全笔记

菜鸟今天刚刚学习PHP和SQL方面的内容，感觉坑比较深，做一下简单的记录，欢迎批评交流。

主要有两种思路一种是过滤，一种是使用占位符，据说第二种可以根本解决SQL注入，本人涉猎不深，还有待研究。

下面是过滤思路的示例代码，需要注意以下几点：

1.判断数据类型加引号，防止被识别为数字。

2.使用stripslashes（）转义/等

3.用real_escape_string（）过滤'等（使用前要注意设置字符集）

4.最后加上了HTML编码的函数htmlentities（），防止XSS。

此外还要注意设置表、列的名字不被人猜到，访问控制，防止二次注入，设置白名单过滤作为选项的输入等。

网上还有很多其他资料，这里只是简单记录一个纲要，欢迎补充要注意的纲要点。

 1 $conn = new mysqli($hn, $un, $pw, $db);
 2 
 3 //设置字符集    
 4 if (!$conn->set_charset('utf8')) {
 5         printf("Error loading character set utf8: %s\n", $conn->error);
 6         die("gg");
 7     } else {
 8         printf("Current character set: %s\n", $conn->character_set_name());
 9     }
10 //
11   function get_post($conn, $var)
12   {
13       $string = $_POST[$var];
14       if (get_magic_quotes_gpc()) 
15           $string = stripslashes($string);
16       if (!is_numeric($string))
17       {
18           $string = "'" . $conn->real_escape_string($string) . "'";
19       }
20       return htmlentities($string);
21     
22   }

本文参与腾讯云自媒体分享计划，分享自作者个人站点/博客。

原始发表：2015-04-30 ，如有侵权请联系 cloudcommunity@tencent.com 删除

php