防注入，转义

<?php

// sql的注入与转义
/*
 先下如下例子:

del.php?id=3
$sql = 'delete from news where id=' . $_GET['id'];

del.php?id=3 or 1;
这时 $sql = 'delete from news where id=3 or 1'
这样,所有的新闻将都被删除.
*/

/* addslashes 可以对某个变量转义,
但是,$_POST是一个数组,可能有多个单元,
如果每个单元手动的addslashes来转义,工作量大. */

//封装转义函数
//我们用系统提供好一个函数,来对数组进行递归
// array_walk_recursive ,这是递归处理数组单元的函数
// 函数本身只有一个功能------递归的把数组每个单元走一遍
// 至于你怎么处理这个数组,自己写一个函数
function abc(&$v,$key){
	$v=addslashes($v);
}

array_walk_recursive(&$_GET, 'abc');

//这样就能转义 $_GET过来的地址,也可以用魔术引号防注入
//magic_quotes_gpc=On,这是魔术引号的作用---魔术引号开启时,$_GET,$_POST,$_COOKIE数据,会被系统自动转义.

/* 要想合理的转义,得先判断 魔术引号 有没有开启
如果开启了,不要再转义了,
如果没开启,再转义. */

//合理的判断
if(!get_magic_quotes_gpc()){
	function _addslashes(&$v,$k){
		if(is_string($v)){
			$v=addslashes($v);
		}
	}
	
	array_walk_recursive($_GET,'_addslashes');
	array_walk_recursive($_POST,'_addslashes');
	array_walk_recursive($_COOKIE,'_addslashes');
		
}





?>