程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> PHP綜合 >> php防止sql注入簡單分析

php防止sql注入簡單分析

編輯:PHP綜合

本文實例分析了php防止sql注入簡單方法。分享給大家供大家參考。具體如下:

這裡只說一個簡單的方法

防止Sql注入的方法有很多,這裡要說的其實就是漏洞演練平台Dvwa裡的一種方式

直接看high級別的就可以了

$id = $_GET['id']; 
$id = stripslashes($id); 
$id = mysql_real_escape_string($id); 
if (is_numeric($id)){
$getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'";
$result = mysql_query($getid) or die('<pre>'.mysql_error().'</pre>');
$num = mysql_numrows($result);

可見它的處理方式是首先通過 stripslashes 函數刪除變量中的反斜槓 \,
然後再使用函數mysql_real_escape_string 轉義特殊字符就行了。
所以當我們編寫類似代碼的時候

$getid="SELECT first_name,last_name FROM users WHERE user_id='$id'";

我們最簡單的方法是

直接將變量$id 進行stripslashes 和 mysql_real_escape_string 處理。

注意: 這裡並不是說這樣就安全了, 這只是其中一種方式我可沒說這就安全了。 更多的還要依據實際情況進行處理。

希望本文所述對大家的php程序設計有所幫助。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved