最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
php 防止查询的sql攻击方法总结
时间:2022-06-24 15:46:37 编辑:袖梨 来源:一聚教程网
一个入门级别的例子
| 代码如下 | 复制代码 |
|
$k = $_REQUEST['k']; $k = addslashes($k);//转义:单引号,双引号,反斜线,NULL $k = str_replace('%', '\%', $k); $k = str_replace('_', '\_', $k); $sql = "select * from users where name like '%$k%'"; if(!empty($k)){ $res = mysql_query($sql, $con) or die(mysql_error()); if($row = mysql_fetch_assoc($res)){ foreach($row as $k=>$v){ echo $row[$k].':'.$row[$v].' } } }else{ echo '******'; } |
|
补充
mysql_real_escape_string()
所以得SQL语句如果有类似这样的写法:
"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId)
例子
| 代码如下 | 复制代码 |
|
|
|
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出
| 代码如下 | 复制代码 |
|
htmlentities($name,ENT_NOQUOTES,GB2312) 。 |
|