一种防止PHPsql注入的简单方法
本文介绍了用PHP防止SQL注入的简单方法:SQL注入通常是由语法的不规则性引起的,问题出现在SQL语句上,而决定性的是引用():
从表中删除;
正常删除数据时,如果提交的ID(1或1 #),那么sql语句将成为
从表的id是'1'or 1 #删除;
这样,整个表将被删除,造成无法弥补的结果。
既然这个问题出现在引号里,所以只要它能逃脱(')
PHP提供两个函数来使用
addslashes($str)
使用以下建议,可以避免字符集的问题
mysql_real_escape_string($str,为链接)
避免整数数据可能不会增加SQL引号,强制使用引号在转换后的数据中包装。
函数($ STR){
返回。mysql_real_escape_string($str,美元->链接)。;
}
更多有关PHP相关内容的感兴趣的读者可以查看该主题:PHP编程指南
希望本文能对PHP程序设计有所帮助。