php代码如何防SQL注入 php代码如何防SQL注入 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 好象mysql的没办法做到同时执行多条语句,一次只能执行一条语句。只要把几个字符注意一下就可以吧 对用户的输入以及需要通过get方式提交的数据进行详细严格的数据类型校验,防止有心之人进行sql注入。 永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。 检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数,从简单的变量函数和字符类型函数(比如 is_numeric(),ctype_digit())到复杂的 Perl 兼容正则表达式函数都可以完成这个工作。 如果程序等待输入一个数字,可以考虑使用 is_numeric() 来检查,或者直接使用 settype() 来转换它的类型,也可以用 sprintf() 把它格式化为数字。使用数据库特定的敏感字符转义函数(比如 mysql_escape_string() 和 sql_escape_string())把用户提交上来的非数字数据进行转义。如果数据库没有专门的敏感字符转义功能的话 addslashes() 和 str_replace() 可以代替完成这个工作要不择手段避免显示出任何有关数据库的信息,尤其是数据库结构 晕,有那么多吗?用一个函数就可以搞定了addcslashes 我做开源软件多年,这方面的经验还是有的。基本上要注意两点,第一是要对提交过来的变量addslashes,第二要对SQL语句中的变量部分,一定要加上单引号。基本上做到这两点就可以了。加单引号的范例:$db->query("update table set field='$value'");昨天居然看到一个帖子居然有人说这里的单引号是错误的,简直是笑死人了。这是最安全的做法 http://blog.chinaunix.net/u/29134/showart_258913.html PHP网页运行的地址 请教一个PHP最简单的问题 将多个一维数组转换成一个二维数组,并求出[2]项值的个数。 关于 PHP中fpen的 问题 唠叨老大,你的三级连动菜单怎么更改为三个表的的三级菜单? PHP如何从一个主机上传图片到另外一个主机 高手帮帮忙吧PHP上传问题 数据库id问题 PHP SOS:想实现在浏览器创建一个会话时,记录一条访问记录,有什么好的解决方案 Apache+php 怎么样能让flash与数据库的连接起来???急啊 关于php文件上传
基本上要注意两点,第一是要对提交过来的变量addslashes,第二要对SQL语句中的变量部分,一定要加上单引号。基本上做到这两点就可以了。加单引号的范例:$db->query("update table set field='$value'");
昨天居然看到一个帖子居然有人说这里的单引号是错误的,简直是笑死人了。这是最安全的做法