php过滤sql注入关键词分析
- WBOY원래의
- 2016-06-08 17:27:051330검색
1.使用mysql_real_escape_string代替 addslashes对输入进行转义 2.字段值两边加上单引号
<script>ec(2);</script>
str_replace替换sql 中的 update 这种做法本身就是错误的, 原因如下:
如果sql中本来就有update字段,如以下的SQL
| 代码如下 | 复制代码 |
| $sql = "update content = 'update your name ..' where userid=1" | |
那么,你用str_replace替换的后果是什么? 只要用户提交的内容中包含有update,
delete, alter均被篡改? 这是多么可怕的事!!!
那么正确的办法是什么呢?
| 代码如下 | 复制代码 |
| $content = mysql教程_real_escape_string($content); $sql = "update content = '$content' where userid=1 |
|
성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:使用rewrite 来配置 apache二级域名다음 기사:PHP网页web颜色调配器代码