本文实例分析了PHP防止sql注入简单方法。分享给大家供大家参考。具体如下:
防止sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式
直接看high级别的就可以了
rush:PHP;">
$id = $_GET['id'];
$id = stripslashes($id);
$id = MysqL_real_escape_string($id);
if (is_numeric($id)){
$getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'";
$result = MysqL_query($getid) or die('
'.MysqL_error().''); $num = MysqL_numrows($result);
可见它的处理方式是首先通过 stripslashes 函数删除变量中的反斜杠 \, 然后再使用函数MysqL_real_escape_string 转义特殊字符就行了。 所以当我们编写类似代码的时候
我们最简单的方法是
直接将变量$id 进行stripslashes 和 MysqL_real_escape_string 处理。
注意: 这里并不是说这样就安全了, 这只是其中一种方式我可没说这就安全了。 更多的还要依据实际情况进行处理。
希望本文所述对大家的PHP程序设计有所帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
