mysql防止sql注入
阿新 • • 發佈:2019-01-28
<?php
//轉義輸出
$sql= "select * from web_action where uid='1 or 1=1' ";
echo mysql_real_escape_string($sql);
//轉義輸出
strip_tags();
htmlspecialchars();
htmlentities();
//<<>>
二、改進現有的應用程式
如果你想改進一個現有的應用程式,則使用一個簡單的抽象層是最適當的。一個能夠簡單地"清理"你所收集的任何使用者輸入內容的函式可能看起來如下所示:
1
function safe( $string ) {
2
return "'" . mysql_real_escape_string( $string ) . "'"
3
}
【注意】我們已經構建了相應於值要求的單引號以及mysql_real_escape_string()函式。接下來,就可以使用這個函式來構造一個$query變數,如下所示:
view sourceprint?
1
$variety = safe( $_POST['variety'] );
2
$query = " SELECT * FROM wines WHERE variety=" . $variety;
//轉義輸出
$sql= "select * from web_action where uid='1 or 1=1' ";
echo mysql_real_escape_string($sql);
//轉義輸出
strip_tags();
htmlspecialchars();
htmlentities();
//<<>>
二、改進現有的應用程式
如果你想改進一個現有的應用程式,則使用一個簡單的抽象層是最適當的。一個能夠簡單地"清理"你所收集的任何使用者輸入內容的函式可能看起來如下所示:
1
function safe( $string ) {
2
return "'" . mysql_real_escape_string( $string ) . "'"
3
}
【注意】我們已經構建了相應於值要求的單引號以及mysql_real_escape_string()函式。接下來,就可以使用這個函式來構造一個$query變數,如下所示:
view sourceprint?
1
$variety = safe( $_POST['variety'] );
2
$query = " SELECT * FROM wines WHERE variety=" . $variety;