PHP防止SQL注入的方法

菜鸟今天刚刚学习PHP和SQL方面的内容,感觉坑比较深,做一下简单的记录,欢迎批评交流。

主要有两种思路一种是过滤,一种是使用占位符,据说第二种可以根本解决SQL注入,本人涉猎不深,还有待研究。

下面是过滤思路的示例代码,需要注意以下几点:

1.判断数据类型加引号,防止被识别为数字。

2.使用stripslashes()转义/等

3.用real_escape_string()过滤'等(使用前要注意设置字符集)

4.最后加上了HTML编码的函数htmlentities(),防止XSS。

此外还要注意设置表、列的名字不被人猜到,访问控制,防止二次注入,设置白名单过滤作为选项的输入等。

网上还有很多其他资料,这里只是简单记录一个纲要,欢迎补充要注意的纲要点。

 1 $conn = new mysqli($hn, $un, $pw, $db);
 2 
 3 //设置字符集    
 4 if (!$conn->set_charset('utf8')) {
 5         printf("Error loading character set utf8: %s\n", $conn->error);
 6         die("gg");
 7     } else {
 8         printf("Current character set: %s\n", $conn->character_set_name());
 9     }
10 //
11   function get_post($conn, $var)
12   {
13       $string = $_POST[$var];
14       if (get_magic_quotes_gpc()) 
15           $string = stripslashes($string);
16       if (!is_numeric($string))
17       {
18           $string = "'" . $conn->real_escape_string($string) . "'";
19       }
20       return htmlentities($string);
21     
22   }

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏菩提树下的杨过

mybatis 3.x 缓存Cache的使用

mybatis 3.x 已经支持cache功能了,使用很简单,在mappper的xml文件里添加以下节点: 1 <mapper namespace="com....

23010
来自专栏李家的小酒馆

Hiberante知识点梳理

Hibernate简介 Hibernat是一个ORM(关系映射)框架,对JDBC访问数据库的操作进行了简化,并且将数据库表中的字段和关系映射为对象,简化了对数据...

2030
来自专栏潇涧技术专栏

How to get performance data in Android

读取文件节点/proc/loadavg,分别是1min/5min/15min内CPU的负载情况。 读取方式的代码示例:

922
来自专栏张善友的专栏

分布式文件存储的数据库开源项目MongoDB

MongoDB是一个基于分布式文件存储的数据库开源项目。由C++语言编写。旨在为WEB应用提供可护展的高性能数据存储解决方案。 它的特点是高性能、易部署、易使用...

3679
来自专栏算法修养

Flask 学习篇二:学习Flask过程中的记录

Flask学习笔记: GitHub上面的Flask实践项目 https://github.com/SilentCC/FlaskWeb 1.Applicati...

3289
来自专栏技术之路

go微服务框架go-micro深度学习(一) 整体架构介绍

      产品嘴里的一个小项目,从立项到开发上线,随着时间和需求的不断激增,会越来越复杂,变成一个大项目,如果前期项目架构没设计的不好,代码会越来越臃肿,难以...

1.8K3
来自专栏前端说吧

Gulp安装流程、使用方法及cmd常用命令导览

4396
来自专栏性能与架构

MySql缓存中的关键项

MySql的设计中大量使用了缓存,下面这些缓存配置项是应该熟知的 key_buffer_size key_buffer_size是设置MyISAM表索引的缓冲区...

4075
来自专栏Danny的专栏

ASP.NET实现文件的上传和下载

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/...

2.9K3
来自专栏网站漏洞修补

mysql防止网站被sql注入攻击 的3种方法

mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与s...

5608

扫码关注云+社区

领取腾讯云代金券