最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
php 防止查询的sql攻击方法总结
时间:2022-06-24 15:46:37 编辑:袖梨 来源:一聚教程网
一个入门级别的例子
| 代码如下 | 复制代码 |
|
$k = $_REQUEST['k']; $k = addslashes($k);//转义:单引号,双引号,反斜线,NULL $k = str_replace('%', '\%', $k); $k = str_replace('_', '\_', $k); $sql = "select * from users where name like '%$k%'"; if(!empty($k)){ $res = mysql_query($sql, $con) or die(mysql_error()); if($row = mysql_fetch_assoc($res)){ foreach($row as $k=>$v){ echo $row[$k].':'.$row[$v].' } } }else{ echo '******'; } |
|
补充
mysql_real_escape_string()
所以得SQL语句如果有类似这样的写法:
"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId)
例子
| 代码如下 | 复制代码 |
|
|
|
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出
| 代码如下 | 复制代码 |
|
htmlentities($name,ENT_NOQUOTES,GB2312) 。 |
|
相关文章
- 暗黑破坏神4S11自动暗影邪爆死灵法师BD怎么搭配 06-06
- iPad充电充不进去怎么办 iPad无法充电故障排查教程 06-06
- 迅雷网页版登录入口:迅雷官方网址链接 06-06
- 微信状态如何设置背景视频 微信个性动态状态添加与修改美化教程 06-06
- windows怎么刻录光盘_使用自带工具刻录ISO方法操作 06-06
- 迅雷极速版怎么更换皮肤 06-06