PHP防止SQL注入

我们在查询数据库时,出于安全考虑,需要过滤一些非法字符防止SQL恶意注入,请看一下函数:

复制代码代码如下:
function injCheck($sql_str) {  
    $check = preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/', $sql_str);
    if ($check) { 
        echo '非法字符!!'; 
        exit; 
    } else { 
        return $sql_str; 
    } 
}

使用方法如下:
复制代码代码如下:
echo injCheck('1 or 1=1');


你可能感兴趣的:(php,函数)