溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
php中如何防止sql注入,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
防止Sql注入的方法有很多,這里要說的其實就是漏洞演練平臺Dvwa里的一種方式
直接看high級別的就可以了
$id = $_GET['id']; $id = stripslashes($id); $id = mysql_real_escape_string($id); if (is_numeric($id)){ $getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'"; $result = mysql_query($getid) or die('<pre>'.mysql_error().'</pre>'); $num = mysql_numrows($result);
可見它的處理方式是首先通過 stripslashes 函數刪除變量中的反斜杠 \,
然后再使用函數mysql_real_escape_string 轉義特殊字符就行了。
所以當我們編寫類似代碼的時候
$getid="SELECT first_name,last_name FROM users WHERE user_id='$id'";
我們最簡單的方法是
直接將變量$id 進行stripslashes 和 mysql_real_escape_string 處理。
注意: 這里并不是說這樣就安全了, 這只是其中一種方式我可沒說這就安全了。 更多的還要依據實際情況進行處理。
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
