在查詢資料庫時需要防止sql注入
實現的方法:
php自帶了方法可以將sql語句轉義,在資料庫查詢語句等的需要在某些字元前加上了反斜線。這些字元是單引號(')、雙引號(")、反斜線(\)與 nul(null 字元)。(推薦學習:php程式設計從入門到精通)string addslashes ( string $str )//該函式返回乙個字串
範例<?php
$str = "is your name o'reilly?";
// 輸出: is your name o\'reilly?
echo addslashes($str);
thinkphp自動給提供了安全防護,對於字串型別的資料,thinkphp都會進行escape_string處理(real_escape_string,mysql_escape_string)
要有效的防止sql注入問題,官方建議:
查詢條件盡量使用陣列方式,這是更為安全的方式;
如果不得已必須使用字串查詢條件,使用預處理機制;
使用自動驗證和自動完成機制進行針對應用的自定義過濾;
如果環境允許,盡量使用pdo方式,並使用引數繫結。
查詢條件預處理
這種方式類似於在查詢語句中放入乙個佔位符,然後通過陣列的形式傳入引數
例如:$model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
$model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
PHP防SQL注入
php防sql注入攻擊 收藏 沒有太多的過濾,主要是針對php和mysql的組合。一般性的防注入,只要使用php的 addslashes 函式就可以了。以下是一段copy來的 php post sql injection post get sql injection get function sql...
PHP防SQL注入
php防sql注入攻擊 收藏 沒有太多的過濾,主要是針對php和mysql的組合。一般性的防注入,只要使用php的 addslashes 函式就可以了。以下是一段copy來的 php post sql injection post get sql injection get function sql...
php如何防sql注入,PHP如何防止SQL注入
一 引言 php是一種力量強大但相當容易學習的伺服器端指令碼語言,即使是經驗不多的程式設計師也能夠使用它來建立複雜的動態的web站點,然後,我們討論php指令碼實現中的普遍存在的脆弱性。我們將解釋如何保護你的指令碼免於sql注入,防止跨站點指令碼化和遠端執行,並且阻止對臨時檔案及會話的 劫持 二 什...