PHP防止SQL注入的一些方法
1. 使用mysql_real_escape_string函数。此函数转义 SQL 语句中使用的字符串中的特殊字符
$userId = mysql_real_escape_string($_POST["userId"]);
$userPwd = mysql_real_escape_string($_POST["userPwd"]);
2. 这是比较基础性的方法,就是写SQL语句的时候尽量写得规范一点。
不规范:$sql = "select * from myTable where id=3";
规范:$sql = "SELECT * FROM `myTable` WHERE `id`='3'";
标点符号不能省略。
3. 使用正则把SQL语句中的关键词过滤掉。
正则。。。再慢慢研究~
4. php.ini中把register_globals设为off
顶(0)
踩(0)
下一篇:祛瘀滞 搜索引擎防屏蔽
- 最新评论