PHP怎么防止sql注入

Posted 2023-05-09

如果是字符串类型：addslashes() 这个函数，转义单双引号；
如果接收的参数属于整数型(id之类)：intval() 直接取出数字，丢弃后边的非数字字符；
或者使用PDO预处理语句，绑定参数的方式防止SQL注入。 参考技术A php一般是前段吧。防SQL注入不如防HTTP注入。。。。。
一般SQL注意是拼SQL的时候遇到字符中含有",--,*，，等等特殊字符导致的。
如果你不是拼SQL，而是用CYQ.Data之类的控件来存取数据则不会有这个问题。
如果自己拼SQL，最简单就是把上面所说的字符替换成全角符号。

PHP 清理数据以防止SQL注入攻击

1. function sanitize($data)  
   2. {  
   3. // remove whitespaces (not a must though)  
   4. $data = trim($data);   
   5.   
   6. // apply stripslashes if magic_quotes_gpc is enabled  
   7. if(get_magic_quotes_gpc())  
   8. {  
   9. $data = stripslashes($data);  
  10. }  
  11.   
  12. // a mySQL connection is required before using this function  
  13. $data = mysql_real_escape_string($data);  
  14.   
  15. return $data;  
  16. }