So verhindern Sie die SQL-Injection in PHP+Mysql

Dieser Artikel stellt die Methode zur Verhinderung von SQL-Injection in PHP + MySQL vor. Jetzt kann ich ihn mit Ihnen teilen

Empfohlene MySQL-Video-Tutorials >MySQL-Tutorial"

Methode 1: mysql_real_escape_string -- Escape-Sonderzeichen in der in der SQL-Anweisung verwendeten Zeichenfolge unter Berücksichtigung der Verbindung Aktueller Zeichensatz!

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and 
password='". mysql_real_escape_string($pw)."' limit 1";

Methode 2:

Öffnen Sie magic_quotes_gpc, um SQL-Injection zu verhindern. Es gibt eine Einstellung in php.ini: magic_quotes_gpc = Off Diese ist standardmäßig deaktiviert. Wenn sie aktiviert ist, werden vom Benutzer übermittelte SQL-Abfragen automatisch konvertiert, z. B. die Konvertierung von „ in „ usw., was eine wichtige Rolle spielt Rolle bei der Verhinderung von SQL-Injection.

Wenn magic_quotes_gpc=Off, verwenden Sie die Funktion addslashes().

Methode drei:

Benutzerdefinierte Funktion

Das obige ist der detaillierte Inhalt vonSo verhindern Sie die SQL-Injection in PHP+Mysql. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!