您的位置 首页 未分类

php 防止sql注入

标题起的名字很大其实这里只说一个简单的方法 防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa…

标题起的名字很大其实这里只说一个简单的方法

防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式

直接看high级别的就可以了

        $id = $_GET['id'];
	$id = stripslashes($id);
	$id = mysql_real_escape_string($id);

	if (is_numeric($id)){

		$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
		$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );

		$num = mysql_numrows($result);

可见它的处理方式是首先通过 stripslashes 函数删除变量中的反斜杠 \,

然后再使用函数mysql_real_escape_string 转义特殊字符就行了。

所以当我们编写类似代码的时候

$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";

我们最简单的方法是
直接将变量$id 进行stripslashes 和 mysql_real_escape_string 处理。

注意: 这里并不是说这样就安全了, 这只是其中一种方式我可没说这就安全了。 更多的还要依据实际情况进行处理。

——来自自己的笔记

此文章通过 python 爬虫创建,原文是自己的csdn 地址: php 防止sql注入

本文来自网络,不代表找知博客立场,转载请注明出处:http://zhaozhiyong.cn/140.html

作者: 于老大

关注微博
返回顶部
//