PHP實現防sql注入

標籤：cap   問題   param   title   注入   ram   防sql注入   escape   sql語句   

在查詢資料庫時需要防止sql注入

實現的方法：

PHP內建了方法可以將sql語句轉義，在資料庫查詢語句等的需要在某些字元前加上了反斜線。這些字元是單引號（‘）、雙引號（"）、反斜線（\）與 NUL（NULL 字元）。

string addslashes ( string $str )

該函數返回一個字串

範例

Example #1 一個 addslashes() 例子

<?php
$str = "Is your name O‘reilly?";

// 輸出： Is your name O\‘reilly?
echo addslashes($str);
?> ThinkPHP自動給提供了安全防護，對於字串類型的資料，ThinkPHP都會進行escape_string處理(real_escape_string,mysql_escape_string）  要有效防止SQL注入問題，官方建議：

• 查詢條件盡量使用數組方式，這是更為安全的方式；
• 如果不得已必須使用字串查詢條件，使用預先處理機制；
• 使用自動驗證和自動完成機制進行針對應用的自訂過濾；
• 如果環境允許，盡量使用PDO方式，並使用參數綁定。 

查詢條件預先處理

　　這種方式類似於在查詢語句中放入一個預留位置，然後通過數組的形式傳入參數

例如：

$Model->where("id=%d and username=‘%s‘ and xx=‘%f‘",array($id,$username,$xx))->select();

$Model->where("id=%d and username=‘%s‘ and xx=‘%f‘",$id,$username,$xx)->select();

PHP實現防sql注入