tp5防止sql注入mysql_PHP+Mysql防止SQL注入的3种方法!

PHP+Mysql防止SQL注入的3种方法:

方法1：

mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集 ！

使用方法如下：$sql = "select count(*) as ctr from users where username

='".mysql_real_escape_string($username)."' and

password='". mysql_real_escape_string($pw)."' limit 1";

使用mysql_real_escape_string()作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。

方法2：

打开magic_quotes_gpc来防止SQL注入

php.ini中有一个设置：magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，

比如把 ' 转为 \'等，对于防止sql注射有重大作用。

如果magic_quotes_gpc=Off，则使用addslashes()函数

方法3：自定义函数/**

* 防止sql注入自定义方法一

* author: xiaochuan

* @param: mixed $value 参数值

*/

function check_param($value=null) {

#  select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile

$str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';

if(!$value) {

exit('没有参数！');

}elseif(eregi($str, $value)) {

exit('参数非法！');

}

return true;

}

/**

* 防止sql注入自定义方法二

* author: xiaochuan

* @param: mixed $value 参数值

*/

function str_check( $value ) {

if(!get_magic_quotes_gpc()) {

// 进行过滤

$value = addslashes($value);

}

$value = str_replace("_", "\_", $value);

$value = str_replace("%", "\%", $value);

return $value;

}

/**

* 防止sql注入自定义方法三

* author: xiaochuan

* @param: mixed $value 参数值

*/

function post_check($value) {

if(!get_magic_quotes_gpc()) {

// 进行过滤

$value = addslashes($value);

}

$value = str_replace("_", "\_", $value);

$value = str_replace("%", "\%", $value);

$value = nl2br($value);

$value = htmlspecialchars($value);

return $value;

}

浏览器启用弹出窗口过滤功能，将无法跳转到下载页。在浏览器地址栏右边符号提示处点击允许就可以了！

郑重声明：

1、本站源码仅供个人学习研究和交流使用，请于下载后二十四小时内删除

2、本站大多资源来源于互联网、用户分享，仅供学习交流使用，本站不提供任何技术支持

3、本站联系方式Email：[email protected] ，收到邮件会第一时间处理。

4、如侵犯到任何版权问题，请立即告知本站(立即在线告知)，本站将及时删除并致以最深的歉意