sql注入总是无孔不入(ps:’ or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?
回复内容:
sql注入总是无孔不入(ps:’ or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?
可以使用 mysql_real_escape_string() 对字符串进行转义,然后再放进 SQL。
<code class="lang-php">$name = mysql_real_escape_string($_POST['name']);mysql_query('SELECT * FROM `users` WHERE `name` = "'.$name.'"');//改进版。防 SQL 注入,同时屏蔽 _ 和 % 字符function escape($str) { $str = mysql_real_escape_string($str); $str = str_replace(['_', '%'], ['\\_', '\\%'], $str); return $str;}</code>
这里有官方介绍:http://www.php.net/manual/zh/function.mysql-real-escape-string
。本文来源gao!%daima.com搞$代*!码网1
搞代gaodaima码.php
个人建议还是使用一个WEB框架,常见的WEB框架都有完善的防注入机制。
例如:
简单、快速入门的:CodeIgniter
功能更全面的:Yii (这个官网有时会被墙)
<code>select * from users where name = @name</code>
参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。
搞代码网(gaodaima.com)提供的所有资源部分来自互联网,如果有侵犯您的版权或其他权益,请说明详细缘由并提供版权或权益证明然后发送到邮箱[email protected],我们会在看到邮件的第一时间内为您处理,或直接联系QQ:872152909。本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:如何安全过滤用户提交的数据提交到数据库
转载请注明原文链接:如何安全过滤用户提交的数据提交到数据库
