要写一个通用的SQL防注入模块~~~~~希望能给点思路

网站输入的地方比较多~~每个输入的地方都特意去写一段代码工程量比较大~~所以就想写一个类~~需要的时候就引入类和函数来表单onsubmit的时候检查输入~~但是每个表单的输入项都不一样~~所以想知道有没有一个通用的SQL防注入模块~~~思路是如何的?XSS也需要防范~~所以也想知道一个通用的XSS防御模块是怎么的~~谢谢谢谢~~

解决方案 »

  1.   

    防注入可参考这里
    http://www.w3school.com.cn/php/func_mysql_real_escape_string.aspXSS防范可用 htmlspecialchars() 转化为HTML实体.
      

  2.   

    用SqlParameter对象传递参数就能防止注入了
      

  3.   

    同意楼上,用再htmlspecialchars()过滤每一项就行了,不要想的太复杂 
      

  4.   

    不去特意写代码~~而把服务器的magic_quotes_gpc设置为on这样的方法靠谱不靠谱???
      

  5.   

    不建议那样做,因为这个特性自 PHP 5.3.0 起就弃用了, 且自 PHP 5.4.0 起就移除了。