php里防止注入攻击

可以使用addslashes等PHP内置的直接给出函数,方便使用
function VerifyInput($input)
{

 
      if (!get_magic_quotes_gpc())
      { 
       //magic_quotes_gpc默认是on的,已经会自动转义'号等字符了
          $input = addslashes($input); 
       }

 
}
而在显示时则用
<? echo htmlentities(stripslashes(....))?>正常显示之

但个人认为,应该在用户输入时就判断好,比如只允许数字,字母等的,根本不给
输入‘号等有其他意义的字符,当然,如果有的情况下确实需要,再用上面的方法过滤

你可能感兴趣的:(PHP)