PHP防流入求教

PHP防注入求教？
本帖最後由 u010572351 於 2013-06-27 21:10:49 編輯

目前我知道的sql攻擊是填入了大量的 '%這樣的特殊字元來實現的，如果我是登陸介面想要防sql攻擊，

我知道使用者名稱和密碼不會出現特殊字元，我使用正則匹配，只要出現了特殊字元我直接就將其打死，這樣處理好嗎？

還有，addslashes 一般做什麼用的啊？麻煩高手多分享下防注入這些，小白知道的太少了。

主要是以下不是很清楚：
magic_quotes_gpc=off
magic_quotes_gpc=on
addslashes()
stripslashes()
str_replace();

如果不是登陸、搜尋等入口頁面，平時php頁面正常的dql語句應該不用考慮注入問題吧。

分享到：

------解決方案--------------------

// 適用各個 PHP 版本的用法
if (get_magic_quotes_gpc()) {
    $lastname = stripslashes($_POST['lastname']);
}
else {
    $lastname = $_POST['lastname'];
}

// 如果使用 MySQL
$lastname = mysql_real_escape_string($lastname);

echo $lastname; // O\'reilly
$sql = "INSERT INTO lastnames (lastname) VALUES ('$lastname')";

------解決方案--------------------
好用不好用，自己用了才知道。
------解決方案--------------------

if (get_magic_quotes_gpc()) {  //如果 magic_quotes_gpc開啟了，則會影響 post、get、cookie 請求的資料，單/雙引號、反斜線會在前面自動加上反斜線，因此要先用stripslashes去掉反斜線以免出現雙重轉義
    $lastname = stripslashes($_POST['lastname']);
}
else {  //否則取原資料
    $lastname = $_POST['lastname'];
}

------解決方案--------------------
magic_quotes_gpc 開關
php 5.3 預設關閉
php 5.4 已取消

判斷 get_magic_quotes_gpc() 的返回，已是遠古的事情了


------解決方案--------------------
只要sql語句書寫規範，就沒有問題。例如不要使用字串串連，而是使用代入。正確地使用引號。使用PDO。
絕對安全是不可能的。與成本有很大關係。

