$id

防止注入的第一步就是验证数据可以根据相应类型进行严格的验证。

比如

int

intval($_GET[id]);字符处理起来比较复杂些首先通过

sprintf

函数格式化输出确保它是一个字符串。

然后通过一些安全函数去掉一些不合法的字符比如

$str

addslashes(sprintf(%s,$str));也可以用mysqli_real_escape_string

函数替代

这样处理以后会比较安全。

当然还可以进一步去判断字符串长度去防止

[缓冲区溢出攻击]

mysqli(localhost,my_user,my_password,world);

$stmt

$stmt-bind_param(sssd,$code,$language,$official,$percent);PDO

Execute

$dbh-prepare($sql,array(PDO::ATTR_CURSOR

150,

false){_doing_it_wrong(wpdb::prepare,sprintf(__(The

query

placeholder.),wpdb::prepare()),3.9);}$args

fun_get_args();array_shift($args);//

args

str_replace(%s,%s,$query);//doublequote

unquoting$query

preg_replace(|(?!%)%f|,%F,$query);

//Force

pref_replace(|(?!%)%s|,%s,$query);//quote

the

%%sarray_walk($args,array($this,escape_by_ref));return

}总结

安全性很重要也可以看出一个人基本功项目漏洞百出扩展性和可维护性再好也没有用。

平时多留意树立安全意识养成一种习惯一些基本的安全当然也不会占用

coding

养成这个习惯即便在项目急时间短的情况下依然可以做的质量很高不要等到自己以后负责的东西数据库都被拿走了造成损失才重视。

虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入还是建议大家加强中文防止SQL注入的检查。

addslashes的问题在于黑客可以用0xbf27来代替单引号而addslashes只是将0xbf27修改为0xbf5c27成为一个有效的多字节字符其中的0xbf5c仍会被看作是单引号所以addslashes无法成功拦截。

当然addslashes也不是毫无用处它是用于单字节字符串的处理多字节字符还是用mysql_real_escape_string吧。

另外对于php手册中get_magic_quotes_gpc的举例

if(!get_magic_quotes_gpc()){$lastname

addslashes($_POST[lsquo;lastnamersquo;]);

}else{$lastname

}最好对magic_quotes_gpc已经开放的情况下还是对$_POST[‘lastname’]进行检查一下。

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别

必须在PHP

4.3.0PHP5的情况下才能使用。

否则只能用mysql_escape_string两者的区别是mysql_real_escape_string

考虑到连接的当前字符集而mysql_escape_string

总结一下

mysql_escape_string不考虑连接的当前字符集。

参考文章链接

https://mp.weixin.qq.com/s/X6q0xpbnJ9lojIIwNmDzdA

一addslashes

addslashes函数的作用是在预定义的字符前面加上反斜杠这些预定义字符包括

单引号

student(student_name)values(.addslashes($str).);

mysql_query($sql);此时字符串**入到数据库那么大家是否知道插入的字符串是带反斜杠还是不带反斜杠呢恐怕很多人都会认为肯定是带反斜杠的字符串。

其实这个答案是错误的插入的字符串是没有带反斜杠。

至于为什么插入的字符串在数据库中是没有加反斜杠请大家继续看下面讲解。

如果字符串$strmy

wxp是使用POST和GET提交的数据这个时候插入数据库中的数据是带反斜杠的由此可知addslashes只是在POST和GET数据插入数据库时才会把反斜杠同时插入到数据库其他情况下不会将反斜杠插入到数据库。

注释默认地PHP

addslashes()因为这样会导致双层转义。

遇到这种情况时可以使用函数

进行检测

原文链接https://blog.csdn.net/MengJing_/article/details/89353942

(PHP

mysql_real_escape_string(string

$unescaped_string,

password%s,mysql_real_escape_string($user),mysql_real_escape_string($password));

mysql_escape_string

指南来获取更多信息。

用以替代本函数的有mysqli_escape_string()

PDO::quote()

接受连接处理程序并根据当前字符集进行转义。

mysql_escape_string()

?php