php中addslashes函數與sql防注入詳解

addslashes() 函數返回在預定義字元之前添加反斜線的字串。

預定義字元是：

• 單引號（'）

• 雙引號（"）

• 反斜線（\）

• NULL

提示：該函數可用於為儲存在資料庫中的字串以及資料庫查詢語句準備字串。

注釋：預設地，PHP 對所有的 GET、POST 和 COOKIE 資料自動運行 addslashes()。所以您不應對已轉義過的字串使用 addslashes()，因為這樣會導致雙層轉義。遇到這種情況時可以使用函數 get_magic_quotes_gpc() 進行檢測。這篇文章主要介紹了php中addslashes函數與sql防注入,執行個體講述了採用addslashes函數對於sql防注入的用處,對於PHP安全程式設計來說具有不錯的參考借鑒價值,需要的朋友可以參考下具體分析如下：

addslashes可會自動給單引號,雙引號增加\\\\\\,這樣我們就可以安全的把資料存入資料庫中而不駭客利用,參數'a..z'界定所有大小寫字母均被轉義,代碼如下:

echo addcslashes('foo[ ]','a..z'); //輸出：foo[ ] $str="is your name o'reilly?"; //定義字串，其中包括需要轉義的字元 echo addslashes($str);  //輸出經過轉義的字串

$str="<a href='test'>test</a>"; //定義包含特殊字元的字串 $new=htmlspecialchars($str,ent_quotes);  //進行轉換操作 echo $new;           //輸出轉換結果 //不過輸出時要用到 $str="jane & 'tarzan'";  //定義html字串 echo html_entity_decode($str);   //輸出轉換後的內容 echo "<br/>"; echo html_entity_decode($str,ent_quotes); //有選擇性參數輸出的內容