PHP之預防sql注入

出現sql注入一般都是因為語法不規範不嚴謹造成的，問題出現在sql語句上，而起決定性的是quote（’）。如下：
$sql = "delete from table where id ='$id'" ;
正常提交的話就是刪除一條數據，若id提交的是（1 ’ or 1 #）,那麼sql語句就變成了
delete from table where id = '1'or 1 #';
這樣的話就會把整個表給刪掉，造成無法挽回的結果。
既然問題出現在quote上，那麼只要將其轉義即可（’）

• php提供兩個函數使用

<code>addslashes(<span>$str</span>)
<span>//建议使用下面的，可以避免出现字符集问题</span>
mysql_real_escape_string(<span>$str</span>,<span>$link</span>)</code>

<code><span>//避免整型数据可能不被sql增加引号，强制在转换后的数据使用引号包裹</span><span><span>function</span><span>(<span>$str</span>)</span>{</span><span>return</span><span>"'"</span>.mysql_real_escape_string(<span>$str</span>,<span>$this</span>->link).<span>"'"</span>;
}</code>

').addClass('pre-numbering').hide(); $(this).addClass('has-numbering').parent().append($numbering); for (i = 1; i ').text(i)); }; $numbering.fadeIn(1700); }); });

以上就介紹了PHP之預防sql注入，包括了方面的內容，希望對PHP教程有興趣的朋友有幫助。