PHP防止SQL注入的方法

標籤：

菜鳥今天剛剛學習PHP和SQL方面的內容，感覺坑比較深，做一下簡單的記錄，歡迎批評交流。

主要有兩種思路一種是過濾，一種是使用預留位置，據說第二種可以根本解決SQL注入，本人涉獵不深，還有待研究。

下面是過濾思路的範例程式碼，需要注意以下幾點：

1.判斷資料類型加引號，防止被識別為數字。

2.使用stripslashes（）轉義/等

3.用real_escape_string（）過濾‘等（使用前要注意設定字元集）

4.最後加上了HTML編碼的函數htmlentities（），防止XSS。

此外還要注意設定表、列的名字不被人猜到，存取控制，防止二次注入，設定白名單過濾作為選項的輸入等。

網上還有很多其他資料，這裡只是簡單記錄一個綱要，歡迎補充要注意的綱要點。

 1 $conn = new mysqli($hn, $un, $pw, $db); 2  3 //設定字元集     4 if (!$conn->set_charset(‘utf8‘)) { 5         printf("Error loading character set utf8: %s\n", $conn->error); 6         die("gg"); 7     } else { 8         printf("Current character set: %s\n", $conn->character_set_name()); 9     }10 //11   function get_post($conn, $var)12   {13       $string = $_POST[$var];14       if (get_magic_quotes_gpc()) 15           $string = stripslashes($string);16       if (!is_numeric($string))17       {18           $string = "‘" . $conn->real_escape_string($string) . "‘";19       }20       return htmlentities($string);21     22   }

 

PHP防止SQL注入的方法