PHP防sql注入

1.首先将magic_quotes_gpc设置为On，display_errors设置为Off.
2.项目正式上线后，调用 mysql_query 等 mysql 函数时，前面应该加上 @，即 @mysql_query(...)  ，这样 mysql 错误不会被输出。同理以免让攻击者分析出有用的信息。
3.在php.ini里把register_globals = On该成register_globals = Off， 这点的好处就是让你php中的变量不能直接从get/post等地方获取，而是由你自己程序上获取
4.安全参数获取函数:
<?php
    define("XH_PARAM_INT",0);
    define("XH_PARAM_TXT",1);
    function PAPI_GetSafeParam($pi_strName, $pi_Def = "", $pi_iType = XH_PARAM_TXT)
    {
      if ( isset($_GET[$pi_strName]) )
        $t_Val = trim($_GET[$pi_strName]);
      else if ( isset($_POST[$pi_strName]))
        $t_Val = trim($_POST[$pi_strName]);
      else
        return $pi_Def;
      // INT
      if ( XH_PARAM_INT == $pi_iType)
      {
        if (is_numeric($t_Val))
          return $t_Val;
        else
          return $pi_Def;
      }
      // String
      $t_Val = str_replace("&", "&amp;",$t_Val);
      $t_Val = str_replace("<", "&lt;",$t_Val);
      $t_Val = str_replace(">", "&gt;",$t_Val);
      if ( get_magic_quotes_gpc() )
      {
        $t_Val = str_replace("\\\"", "&quot;",$t_Val);
        $t_Val = str_replace("\\''", "&#039;",$t_Val);
      }
      else
      {
        $t_Val = str_replace("\"", "&quot;",$t_Val);
        $t_Val = str_replace("'", "&#039;",$t_Val);
      }
      return $t_Val;
    }

在这个函数中，有三个参数：

$pi_strName: 变量名
$pi_Def: 默认值
$pi_iType: 数据类型。取值为 XH_PARAM_INT, XH_PARAM_TXT, 分别表示数值型和文本型。　　如果请求是数值型，那么调用 is_numeric() 判断是否为数值。如果
不是，则返回程序指定的默认值。简单起见，对于文本串，我将用户输入的所有危险字符（包括HTML代码），全部转义。由于 php 函数  addslashes()存在漏
洞，我用 str_replace()直接替换。get_magic_quotes_gpc() 函数是 php  的函数，用来判断 magic_quotes_gpc 选项是否打开。

刚才示例，代码可以这样调用：
<?php
if ( isset($_POST["f_login"] ) )
{
  // 连接数据库...
  // ...代码略...
 
  // 检查用户是否存在
  $t_strUid = PAPI_GetSafeParam("f_uid", 0, XH_PARAM_INT);
  $t_strPwd = PAPI_GetSafeParam("f_pwd", "", XH_PARAM_TXT);
  $t_strSQL = "SELECT * FROM tbl_users WHERE uid=$t_strUid AND password = '$t_strPwd' LIMIT 0,1";
  if ( $t_hRes = mysql_query($t_strSQL) )
  {
    // 成功查询之后的处理. 略...
  }
}
?>


1. 防范可以从两个方面着手，一个就是服务器，二个就是代码本身，介绍服务器配置的文章很多了，无非就是把magic_quotes_gpc设置为On，display_errors设置为Off
2.代码入手
 1)我们可以通过用户输入的用户名去获取到该用户名在数据库中的密码，然后和输入的密码进行比对，如果相同则说明输入的密码是正确的，否则有问题
 2)更好的方式是使用pdo的PDO::prepare()  预处理操作来防止sql注入漏洞PDO::prepare()主要是预处理操作，需要通过$rs->execute()来执行预处理里面的SQL语句，
   这个方法可以绑定参数，功能比较强大 。绑定参数有两种方式: 通过名字绑定，或者是通过?号来绑定均可.
3.搜索引擎中sql注入问题过滤%和_防止所有的数据被查询出来.