SQL 주입을 방지하기 위한 간단한 PHP 분석_php 팁

이 글에서는 PHP에서 SQL 삽입을 방지하는 간단한 방법을 분석합니다. 참고할 수 있도록 모든 사람과 공유하세요. 세부 내용은 다음과 같습니다.

간단한 방법을 소개합니다

SQL 주입을 방지하는 방법은 여러 가지가 있습니다. 제가 여기서 이야기하고 싶은 것은 실제로 취약점 드릴 플랫폼 Dvwa에 있는 방법 중 하나입니다

레벨이 높은 것만 보세요

$id = $_GET['id']; 
$id = stripslashes($id); 
$id = mysql_real_escape_string($id); 
if (is_numeric($id)){
$getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'";
$result = mysql_query($getid) or die('<pre class="brush:php;toolbar:false">'.mysql_error().'

'); $num = mysql_numrows($result);

stripslashes 함수를 통해 변수의 백슬래시를 먼저 제거하는 방식으로 처리되는 것을 알 수 있는데,
그런 다음 mysql_real_escape_string 함수를 사용하여 특수 문자를 이스케이프합니다.
그래서

같은 코드를 작성하면

$getid="SELECT first_name,last_name FROM users WHERE user_id='$id'";

가장 간단한 방법은

스트립슬래시와 mysql_real_escape_string을 사용하여 변수 $id를 직접 처리합니다.

참고: 이것이 안전하다고 말하는 것은 아닙니다. 이것은 단지 방법 중 하나일 뿐입니다. 실제 상황에 따라 더 많은 조치를 취해야 합니다.

이 기사가 모든 사람의 PHP 프로그래밍 설계에 도움이 되기를 바랍니다.