当前位置:首页 > PHP教程 > php应用 > 列表

php防止sql注入简单分析

发布:smiling 来源: PHP粉丝网  添加日期:2021-05-16 19:59:09 浏览: 评论:0 

这篇文章主要介绍了php防止sql注入的方法,简单分析了通过stripslashes及mysql_real_escape_string函数进行字符转移处理的技巧,非常具有实用价值,需要的朋友可以参考下

本文实例分析了php防止sql注入简单方法。分享给大家供大家参考。具体如下:

这里只说一个简单的方法

防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式

直接看high级别的就可以了

  1. $id = $_GET['id'];  
  2. $id = stripslashes($id);  
  3. $id = mysql_real_escape_string($id);  
  4. if (is_numeric($id)){ 
  5. $getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'"
  6. $result = mysql_query($getidor die('<pre>'.mysql_error().'</pre>'); 
  7. $num = mysql_numrows($result); 

可见它的处理方式是首先通过 stripslashes 函数删除变量中的反斜杠 \,然后再使用函数mysql_real_escape_string 转义特殊字符就行了。

所以当我们编写类似代码的时候

$getid="SELECT first_name,last_name FROM users WHERE user_id='$id'";

我们最简单的方法是

直接将变量$id 进行stripslashes 和 mysql_real_escape_string 处理。

注意: 这里并不是说这样就安全了, 这只是其中一种方式我可没说这就安全了,更多的还要依据实际情况进行处理。

Tags: php防止sql注入

分享到: