php 防sql注入

<?php
	function inject_check($sql_str) {
   		$check=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file
|outfile', $sql_str);     // 进行过滤 防止sql注入
   		if ($check) {
   			exit("输入非法注入内容!");
   		}
   		return $sql_str;
	}
	$_GET['id']=inject_check($_GET['id']);
	//$_GET['id']=addslashes($_GET['id']);
	$sql="select * from `table` where `id`='$_GET[id]'";		//规范的sql
	echo $sql;
?>

你可能感兴趣的:(sql注入)