php 防止sql注入的有效處理方法

  為了資料安全，防止注入需要過濾$_GET獲得的字串，一開始我還自已寫過濾的函數，後

來看到php教程內建的一個過濾函數，所以把addslashes推薦給大家。
  一個使用 addslashes() 的例子是當你要往資料庫教程中輸入資料時。例如，將名字 O'reilly

插入到資料庫中，這就需要對其進行轉義。大多資料庫使用 作為轉義符：O'reilly。這

樣可以將資料放入資料庫中，而不會插入額外的 。當 PHP 指令 magic_quotes_sybase 被

設定成 on 時，意味著插入 ' 時將使用 ' 進行轉義。
  例子：

 

mysql教程和php內建很多函數可以處理字元問題,下面給出幾個會經常用到的.
ps教程:由於php6開始不支援magic_quotes_gpc,所以下面的東西都是假設在

magic_quotes_gpc=off的條件上(不知道php6會出什麼新東西....)

mysql_real_escape_string()
定義:函數轉義 SQL 陳述式中使用的字串中的特殊字元。
文法: mysql_real_escape_string(string,connection)
說明:本函數將 string 中的特殊字元轉義，並考慮到串連的當前字元集，因此可以安全用於

mysql_query()。
由於執行個體代碼過長,給出函數解釋連結

本函數將 string 中的特殊字元轉義，並考慮到串連的當前字元集，因此可以安全用於

mysql_query()。
資料庫攻擊。本例示範如果我們不對使用者名稱和密碼應用 mysql_real_escape_string() 函數

會發生什麼：

<?php
$con = mysql_connect("localhost", "hello", "321");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

$sql = "SELECT * FROM users
WHERE user='{$_POST['user']}'
AND password='{$_POST['pwd']}'";
mysql_query($sql);

// 不檢查使用者名稱和密碼
// 可以是使用者輸入的任何內容，比如：
$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

// 一些代碼...

mysql_close($con);
?>那麼 SQL 查詢會成為這樣：

SELECT * FROM users
WHERE user='john' AND password='' OR ''=''這意味著任何使用者無需輸入合法的密碼即可

登陸

addSlashes()
定義:addslashes() 函數在指定的預定義字元前添加反斜線。
文法:addslashes(string)
注釋：預設情況下，PHP 指令 magic_quotes_gpc 為 on，對所有的 GET、POST 和 COOKIE

資料自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串使用

addslashes()，因為這樣會導致雙層轉義。遇到這種情況時可以使用函數

get_magic_quotes_gpc() 進行檢測。
由於執行個體代碼過長,給出函數解釋連結
相關函數

 

<?php
   $str = "Is your name O'reilly?";

   // 輸出：Is your name O'reilly?
   echo addslashes($str);
  ?>

StripSlashes()去掉反斜線字元
 
stripslashes() 函數刪除由 addslashes() 函數添加的反斜線。

文法
stripslashes(string)

<?php
echo stripslashes("Who's John Adams?");
?>