请问通常大家是怎么防止SQL注入的,谢谢 编程的时候,总是害怕自己写的代码会别SQL注入。所以,想从网上找个好的通用php防SQL注入程序,但是,又对其真实的防护效果不肯定,所以,希望各位能说的具体点,不胜感激。 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 请搜索adodb,一个通用的PHP数据库操作库 转义是根本图方便就用现成的类吧转载:我们今天要向大家介绍的是PHP magic_quotes_gpc的具体使用方法。大家都知道在PHP中一个特殊的函数魔术函数,它在引用的过程中只有在传递$_GET,$_POST,$_COOKIE时才会发生作用。/*检测 magic_quotes_gpc 是“on”还是“off”$isMagic = @ini_get( "magic_quotes_gpc" );if($isMagic){ echo '开启状态 magic_quotes_gpc=on';}else{ echo '关闭状态 magic_quotes_gpc=off';}*//*防止注入$isMagic = @ini_get( "magic_quotes_gpc" );if(!$isMagic){ addslashes($cvalue);}$sql = "..... id = '{$cvlaue}'";无论时间,数字,字符串什么的,都加引号就可以了也就是这样的形式:$sql = "......字段 = '{$var}'";这样就能有效的防止注入了。*/1.条件: PHP magic_quotes_gpc=off写入数据库的字符串未经过任何过滤处理。从数据库读出的字符串也未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: 出现sql语句错误,mysql不能顺利完成sql语句,写入数据库失败。数据库保存格式:无数据。输出数据格式:无数据。说明: 对于未经处理的单引号在写入数据库时会使sql语句发生错误。2.条件: PHP magic_quotes_gpc=off写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: sql语句顺利执行,数据成功写入数据库数据库保存格式:snow”’’sun (和输入一样)输出数据格式:snow”’’sun (和输入一样)说明: addslashes()函数将单引号转换为\’的转义字符使sql语句成功执行,但\’并未作为数据存入数据库,数据库保存的是snow”’’sun 而并不是我们想象的snow\’\’\’\’sun3.条件: PHP magic_quotes_gpc=on写入数据库的字符串未经过任何处理。从数据库读出的字符串未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: sql语句顺利执行,数据成功写入数据库数据库保存格式:snow”’’sun (和输入一样)输出数据格式:snow”’’sun (和输入一样)说明: PHP magic_quotes_gpc=on 将单引号转换为\’的转义字符使sql语句成功执行,但\’并未作为数据入数据库,数据库保存的是snow”’’sun而并不是我们想象的snow\’\’\’\’sun。4.条件: PHP magic_quotes_gpc=on写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: sql语句顺利执行,数据成功写入数据库数据库保存格式:snow\’\’\’\’sun (添加了转义字符)输出数据格式:snow\’\’\’\’sun (添加了转义字符)说明: PHP magic_quotes_gpc=on 将单引号转换为\’的转义字符使sql语句成功执行,addslashes又将即将写入数据库的单引号转换为\’,后者的转换被作为数据写入数据库,数据库保存的是snow\’\’\’\’sun总结如下:1. 对于PHP magic_quotes_gpc=on的情况,我们可以不对输入和输出数据库的字符串数据作addslashes()和stripslashes()的操作,数据也会正常显示。如果此时你对输入的数据作了addslashes()处理,那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。2. 对于PHP magic_quotes_gpc=off 的情况必须使用addslashes()对输入数据进行处理,但并不需要使用stripslashes()格式化输出因为addslashes()并未将反斜杠一起写入数据库,只是帮助mysql完成了sql语句的执行。补充:PHP magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时,例如当脚本运行时.magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据 if(gpc) stripslashes然后PDO::prepare PDOStatement::bindParamPDOStatement::execute 把不常用的SQL语句过滤掉,比如子过程之类。。这样可以有效的防止注入。 +1不用pdo的也应该用mysql_real_escape_string, 而不是addslashes不建议在开始对所有输入做addslashes, 这样输出时需要多余处理 关于服务器的 rewrite 问一个问题 不知道是不是问题 ,就是CSDN forumID=c5eca554-e88a-47bd-873d-58c8014f2f91 后面这一串字符,有什么用 关于图片滚动的JS问题 fgetcsv读取不了中文 php中调用其他文件中的函数 今天上课教的输出大量文字用什么来着。。 求助:输出图像为何总是出现乱码 php5.3提交表单写入数据库提示错误“未定义变量” 如何在php 里一个动作update 2个MYSQL表 将二进制数据转换成十六进制,具体是做什么用的 请教关于时间的一个编程 ajax小疑问
图方便就用现成的类吧
转载:
我们今天要向大家介绍的是PHP magic_quotes_gpc的具体使用方法。大家都知道在PHP中一个特殊的函数魔术函数,它在引用的过程中只有在传递$_GET,$_POST,$_COOKIE时才会发生作用。
/*
检测 magic_quotes_gpc 是“on”还是“off”
$isMagic = @ini_get( "magic_quotes_gpc" );
if($isMagic){
echo '开启状态 magic_quotes_gpc=on';
}else{
echo '关闭状态 magic_quotes_gpc=off';
}
*/
/*
防止注入
$isMagic = @ini_get( "magic_quotes_gpc" );
if(!$isMagic){
addslashes($cvalue);
}
$sql = "..... id = '{$cvlaue}'";
无论时间,数字,字符串什么的,都加引号就可以了
也就是这样的形式:$sql = "......字段 = '{$var}'";
这样就能有效的防止注入了。
*/
1.
条件: PHP magic_quotes_gpc=off
写入数据库的字符串未经过任何过滤处理。从数据库读出的字符串也未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: 出现sql语句错误,mysql不能顺利完成sql语句,写入数据库失败。数据库保存格式:无数据。输出数据格式:无数据。说明: 对于未经处理的单引号在写入数据库时会使sql语句发生错误。2.
条件: PHP magic_quotes_gpc=off
写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: sql语句顺利执行,数据成功写入数据库数据库保存格式:snow”’’sun (和输入一样)输出数据格式:snow”’’sun (和输入一样)说明: addslashes()函数将单引号转换为\’的转义字符使sql语句成功执行,
但\’并未作为数据存入数据库,数据库保存的是snow”’’sun 而并不是我们想象的snow\’\’\’\’sun3.
条件: PHP magic_quotes_gpc=on
写入数据库的字符串未经过任何处理。从数据库读出的字符串未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: sql语句顺利执行,数据成功写入数据库数据库保存格式:snow”’’sun (和输入一样)输出数据格式:snow”’’sun (和输入一样)说明: PHP magic_quotes_gpc=on 将单引号转换为\’的转义字符使sql语句成功执行,
但\’并未作为数据入数据库,数据库保存的是snow”’’sun而并不是我们想象的snow\’\’\’\’sun。4.
条件: PHP magic_quotes_gpc=on
写入数据库的字符串经过函数addlashes()处理。从数据库读出的字符串未作任何处理。数据: ?$data=”snow”’’sun” ; (snow和sun之间是四个连续的单引号).操作: 将字符串:”snow”’’sun” 写入数据库,结果: sql语句顺利执行,数据成功写入数据库数据库保存格式:snow\’\’\’\’sun (添加了转义字符)输出数据格式:snow\’\’\’\’sun (添加了转义字符)说明: PHP magic_quotes_gpc=on 将单引号转换为\’的转义字符使sql语句成功执行,
addslashes又将即将写入数据库的单引号转换为\’,后者的转换被作为数据写入
数据库,数据库保存的是snow\’\’\’\’sun总结如下:
1. 对于PHP magic_quotes_gpc=on的情况,我们可以不对输入和输出数据库的字符串数据作
addslashes()和stripslashes()的操作,数据也会正常显示。如果此时你对输入的数据作了addslashes()处理,
那么在输出的时候就必须使用stripslashes()去掉多余的反斜杠。2. 对于PHP magic_quotes_gpc=off 的情况必须使用addslashes()对输入数据进行处理,但并不需要使用stripslashes()格式化输出
因为addslashes()并未将反斜杠一起写入数据库,只是帮助mysql完成了sql语句的执行。补充:PHP magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始时,例如当脚本运行时.
magic_quotes_runtime 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的;作用时间:每次当脚本访问运行状态中产生的数据
然后
PDO::prepare
PDOStatement::bindParam
PDOStatement::execute
+1不用pdo的也应该用mysql_real_escape_string, 而不是addslashes不建议在开始对所有输入做addslashes, 这样输出时需要多余处理