时间:2021-07-01 10:21:17 帮助过:2人阅读
出现sql注入一般都是因为语法不规范不严谨造成的,问题出现在sql语句上,而起决定性的是quote(’)。如下:
$sql = "delete from table where id ='$id'" ;
正常提交的话就是删除一条数据,若id提交的是(1 ’ or 1 #),那么sql语句就变成了delete from table where id = '1'or 1 #';
这样的话就会把整个表给删掉,造成无法挽回的结果。
既然问题出现在quote上,那么只要将其转义即可(\’)
addslashes($str)
//建议使用下面的,可以避免出现字符集问题
mysql_real_escape_string($str,$link)
//避免整型数据可能不被sql增加引号,强制在转换后的数据使用引号包裹function($str){return"'".mysql_real_escape_string($str,$this->link)."'";
}
').addClass('pre-numbering').hide();
$(this).addClass('has-numbering').parent().append($numbering);
for (i = 1; i <= lines; i++) {
$numbering.append($('').text(i));
};
$numbering.fadeIn(1700);
});
});
以上就介绍了PHP之预防sql注入,包括了方面的内容,希望对PHP教程有兴趣的朋友有所帮助。