求一段防注入的代码 大家分享下自己的防注入的代码,复制粘贴就行.还有addslashes和mysql_escape_string的区别就是后者必须在连接数据之后使用而已吗? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 mysql_escape_string就是一个函数,和链接不链接数据库没有关系的 是数字的就int掉 这样啥非法的都会变成0。如果是网页编辑器的内容可以将标签转为实体符号入库。使用 addslashes转义 单引号和双引号。更严谨点可以 将sql的关键字全过滤掉。 你Y不信,自己只开apache,不开mysql, 你Y试试看 楼主自己百度下,php函数的用法,自然就知道的。 我把MYSQL关闭了,照样可以使用,自己先试试看!!! mysql_real_escape_string 这个方法才需要连数据库,在PHP5.4中建议用它了 1、addslashes将特殊字符转义2、preg_replace将select\or\update\alter\etc.注意还有|和&[这两个字符其实可以htmlspecialchars搞掉]3、如果使用int建议最好是is_numeric(intval)一下,还有建议将整数长度截取在安全范围内。4、防止xss攻击,一定得htmlspecialchars一下。=================================================php的我就常规去测试,.net我一般最留意的是int长度和| &这两个字符,很多人忽略这三个东西,再加上服务器配置不严格,杠杠滴往外蹦源码。 php 超链接文件问题 时区问题 为什么RewriteRule中的大写字母变成了小写字母? sql中"和&的字符问题 PHP 数组比较合并,求效率 PHP这种写法是有什么好处? XAMPP不支持flv视频吗? 新软件试用*用php作windows下的守护进程* 如何用PHP来取 http header 中的变量? php如何处理form input数组? PHP基础数组取值 关于使用date()和strtotime()打印日期的问题
如果是网页编辑器的内容可以将标签转为实体符号入库。
使用 addslashes转义 单引号和双引号。更严谨点可以 将sql的关键字全过滤掉。
2、preg_replace将select\or\update\alter\etc.注意还有|和&[这两个字符其实可以htmlspecialchars搞掉]
3、如果使用int建议最好是is_numeric(intval)一下,还有建议将整数长度截取在安全范围内。
4、防止xss攻击,一定得htmlspecialchars一下。
=================================================
php的我就常规去测试,.net我一般最留意的是int长度和| &这两个字符,很多人忽略这三个东西,再加上服务器配置不严格,杠杠滴往外蹦源码。