记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

php对于mysql注入通用的防范方法

2013-07-19 11:17
现在我在写代码中总结主要以下几种:
 
主要是对于整数型数据,插入前用intval强制转换
 
mysql防注入,一般就是对页面提交(post或get)过来的数据进行处理,这里接收两种:
一是php逻辑模块,对页面提交过来的特殊字符进行转义
可以用get_magic_quotes_gpc()检测系统是否开启自动转义设置。如果没有打开这项设置,可以使用addslashes()函数添加,它的功能就是给数据库查询语句等的需要在某些字符前加上了反斜线,比如:
 
 

if (!get_magic_quotes_gpc())
{
foreach ($_POST as $_key => $_value)
{
if (!is_array($_value)) $_POST[$_key] = addslashes($_value);
}
}

 

二是mysql处理模块,用mysql的mysql_real_escape_string()的函数,可将特殊字符和可能引起数据库操作出错的字符转义,比如:
 
 

if(get_magic_quotes_gpc()) {
  $str=stripslashes($str);
}else{
  $str = mysql_real_escape_string($str);
}

 

知识来源: www.2cto.com/Article/201307/229025.html

阅读:60809 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“php对于mysql注入通用的防范方法”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词