php防止mysql注入

php防止mysql注入

1、PHP预定义字符是：单引号（’）、双引号（”）、反斜杠（\）、NULL

注释：默认地，PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()，即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes()，因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

2、mysql注入所必须的两个条件：

（1）没有过滤（用mysql_real_escape_string()进行过滤）

（2）没有转义（PHP自带转义magic_quotes_gpc()=on，如果关闭，则可以用addslashes()进行转义）

Php面对传值的三个安全过滤步骤：
1、trim()：函数过滤掉头和尾的空格
2、Htmlspecialchars()：函数把预定义字符串转化为实体，可以防止因为PHP_SELF带来的XSS攻击
3、Stripslashes()：去掉反斜杠
4、Addslashes()：添加反斜杠

php防注入安全过滤函数：

function check_input($data){
        //对特殊符号添加反斜杠
        $data = addslashes($data);
        //判断自动添加反斜杠是否开启
        if(get_magic_quotes_gpc()){
            //去除反斜杠
            $data = stripslashes($data);
        }
        //把'_'过滤掉
        $data = str_replace("_", "\_", $data);
        //把'%'过滤掉
        $data = str_replace("%", "\%", $data);
        //把'*'过滤掉
        $data = str_replace("*", "\*", $data);
        //回车转换
        $data = nl2br($data);
        //去掉前后空格
        $data = trim($data);
        //将HTML特殊字符转化为实体
        $data = htmlspecialchars($data);
        return $data;
    }