求一段防注入的代码 大家分享下自己的防注入的代码,复制粘贴就行.还有addslashes和mysql_escape_string的区别就是后者必须在连接数据之后使用而已吗? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 mysql_escape_string就是一个函数,和链接不链接数据库没有关系的 是数字的就int掉 这样啥非法的都会变成0。如果是网页编辑器的内容可以将标签转为实体符号入库。使用 addslashes转义 单引号和双引号。更严谨点可以 将sql的关键字全过滤掉。 你Y不信,自己只开apache,不开mysql, 你Y试试看 楼主自己百度下,php函数的用法,自然就知道的。 我把MYSQL关闭了,照样可以使用,自己先试试看!!! mysql_real_escape_string 这个方法才需要连数据库,在PHP5.4中建议用它了 1、addslashes将特殊字符转义2、preg_replace将select\or\update\alter\etc.注意还有|和&[这两个字符其实可以htmlspecialchars搞掉]3、如果使用int建议最好是is_numeric(intval)一下,还有建议将整数长度截取在安全范围内。4、防止xss攻击,一定得htmlspecialchars一下。=================================================php的我就常规去测试,.net我一般最留意的是int长度和| &这两个字符,很多人忽略这三个东西,再加上服务器配置不严格,杠杠滴往外蹦源码。 求助PHP中使用session写一个类 关于WEBSERVICE的复杂类型怎么传值的问题 php如何读取linux下面的etc下面的文件 win2003 上 Apache + PHP 异常慢 ? 请教一个字符串判断的问题 为什么这段代码运行后是空白呢? 如何隐藏.php扩展名 可以使用php的socket发送tcp请求吗? Firebug 达到了 Post 请求大小限制。 mysqli的怪问题!! PHP基础数组取值 关于使用date()和strtotime()打印日期的问题
如果是网页编辑器的内容可以将标签转为实体符号入库。
使用 addslashes转义 单引号和双引号。更严谨点可以 将sql的关键字全过滤掉。
2、preg_replace将select\or\update\alter\etc.注意还有|和&[这两个字符其实可以htmlspecialchars搞掉]
3、如果使用int建议最好是is_numeric(intval)一下,还有建议将整数长度截取在安全范围内。
4、防止xss攻击,一定得htmlspecialchars一下。
=================================================
php的我就常规去测试,.net我一般最留意的是int长度和| &这两个字符,很多人忽略这三个东西,再加上服务器配置不严格,杠杠滴往外蹦源码。