浅析PHP防止sql注入
本文分析了一种防止PHP SQL注入的简单方法,供大家参考:这里有一个简单的说法
有很多防止SQL注入的方式,这实际上是一个在漏洞钻平台DVWA方式
看看高层。
ID =美元美元_get { 'id' };
$id = stripslashes($id);
$id = mysql_real_escape_string($id);
如果(is_numeric($id)){
$ getID = 选择first_name,last_name从用户那里user_id = $ ID;
结果= mysql_query美元(约合GetID)或(模具)(''。mysql_error。);
Num = mysql_numrows美元($结果);
可以看出,解决办法是删除变量首先通过stripslashes功能反斜杠。
然后使用功能mysql_real_escape_string逃生的特殊字符。
所以当我们编写类似的代码时
$ getID = 选择first_name,last_name从用户那里user_id = $ ID;
我们最简单的方法是
变量$id的stripslashes和mysql_real_escape_string直接加工。
注意:这不是安全的,这只是我不说安全的方法之一,更多的应该根据实际情况来处理。
希望本文能对大家的PHP程序设计有所帮助。