php+mysql网站预防SQL注入的一点小方法

1.最基本的就是要关闭网站的错误提示,php配置文件中设置display_errors = Off,一些集成环境的默认错误提示是On

2.一些查询,更新,插入时,最好先判断数据类型和数据格式,比如需要插入邮箱就只能是邮箱格式,不紧在前台要验证,在后台,以及操作数据库时更要验证

3.sql语句最好不要用拼接的方式来组合,最好不要自己写sql语句。

4.过滤特殊字符,常用的php函数有addslashes   addcslashes  htmlspecialchars等。

5.绑定参数,比如

$mysqli = new mysqli("localhost", "root", "123456", 'shop');
$sql = "SELECT * FROM admin WHERE supername=?";
$res = $mysqli->prepare($sql);
$res->bind_param("tttna", $supername);
使用php框架开发应用时尽量采用框架自带的参数绑定机制,比如thinkphp5中
Db::execute('insert into admin (supername,age) values (?, ?)', ['cheneee','99']);
$result = Db::query('select * from admin where supername = ?', ['cheneeee']);

以上只是防注入的一点简单方法

你可能感兴趣的:(php)