php中防sql注入的一些简单php.ini配置与php函数

1.magic_quotes_gpc(魔术引号开关)

magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有：post、get、cookie过来的数据增加转义字符“\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误。

在magic_quotes_gpc = On的情况下，如果输入的数据有

单引号（’）、双引号（”）、反斜线（\）与 NULL（NULL 字符）等字符都会被加上反斜线。这些转义是必须的，如果这个选项为Off，那么我们就必须调用addslashes这个函数来为字符串增加转义。

这个特性在PHP5.3.0中已经废弃并且在5.4.0中已经移除了。一切的编程都需要在 magic_quotes_gpc=Off下进行了。在这样的环境下如果不对用户的数据进行转义，后果不仅仅是程序错误而已了。同样的会引起数据库被注入攻击的危险。所以从现在开始大家都不要再依赖这个设置为On了。

php较低版本（php version <= 5.4.0）会对所有的GET、POST和COOKIE 数据自动运行addslashes()。因为较低版本的php，magic_quotes_gpc默认开启，所以，此时您不应对已转义过的字符串使用 addslashes()，因为这样会导致双层转义。遇到这种情况时，可以使用函数get_magic_quotes_gpc()进行检测。

  参考链接 ：https://www.cnblogs.com/joshua317/articles/3939718.html

                    https://www.cnblogs.com/windclouds/p/5412888.html

                     https://segmentfault.com/a/1190000008227307

2.htmlentities()与htmlspecialchars()

htmlentities() 转换所有具有 HTML 实体的字符。

语法：  htmlentities(string,flags,character-set,double_encode)

参数	描述
string	必需。规定要转换的字符串。
flags	可选。规定如何处理引号、无效的编码以及使用哪种文档类型。 可用的引号类型： ENT_COMPAT - 默认。仅编码双引号。 ENT_QUOTES - 编码双引号和单引号。 ENT_NOQUOTES - 不编码任何引号。

character-set

可选。一个规定了要使用的字符集的字符串。 允许的值： UTF-8 - 默认。ASCII 兼容多字节的 8 位 Unicode

double_encode

可选。布尔值，规定是否编码已存在的 HTML 实体。 TRUE - 默认。将对每个实体进行转换。 FALSE - 不会对已存在的 HTML 实体进行编码

htmlentities()更多参数 参考 http://www.w3school.com.cn/php/func_string_htmlentities.asp

 htmlentities() 可以对用户输入具有HTML 实体的字符的数据进行转义，比如单引号字符，可以防御说sql注入，再比如'<'符号可以防御用户插入存储型的xss。

htmlspecialchars()函数仅对以下字符转义，其他的与htmlentities()差不多，包括各个参数的默认值

字符	替换后
& (& 符号)	&
" (双引号)	"，除非设置了 ENT_NOQUOTES
' (单引号)	设置了 ENT_QUOTES 后， ' (如果是 ENT_HTML401) ，或者 ' (如果是 ENT_XML1、 ENT_XHTML 或 ENT_HTML5)。
< (小于)	<
> (大于)	>

 关于htmlspecialchars()更多参数参考：http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

3.addslashes()函数stripslashes()函数

3.1）string addslashes ( string $str )

返回字符串，该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。

3.2）stripslashes — 反引用一个引用字符串

说明

string stripslashes ( string $str )

反引用一个引用字符串。

Note:

如果 magic_quotes_sybase 项开启，反斜线将被去除，但是两个反斜线将会被替换成一个。

 

一个使用范例是使用 PHP 检测 magic_quotes_gpc 配置项的 开启情况（在 PHP 5.4之 前默认是开启的）并且你不需要将数据插入到一个需要转义的位置（例如数据库）。例如，你只是简单地将表单数据直接输出。

参数

str

输入字符串。

返回值

返回一个去除转义反斜线后的字符串（\' 转换为 ' 等等）。双反斜线（\\）被转换为单个反斜线（\）。

4.mysql_real_escape_string() 函数

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响：

• \x00
• \n
• \r
• \
• '
• "
• \x1a

如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

语法

mysql_real_escape_string(string,connection)

参数	描述
string	必需。规定要转义的字符串。
connection	可选。规定 MySQL 连接。如果未规定，则使用上一个连接。

说明

本函数将 string 中的特殊字符转义，并考虑到连接的当前字符集，因此可以安全用于 mysql_query()。

提示和注释

提示：可使用本函数来预防数据库攻击。

附以下代码：

";
$sql = "select * from user where username = '$a'";
echo $sql;
$sql=mysql_query($sql);
var_dump($sql);
var_dump(mysql_num_rows($sql));
if(mysql_num_rows($sql)>0)
	echo "OK";
?>

运行结果为:

-----------------------------------------------------------------------------未完待续------------------------------------------------------------------------------