php防止sql注入简单分析,phpsql注入
本文实例分析了php防止sql注入简单方法。分享给大家供大家参考。具体如下:
这里只说一个简单的方法
防止Sql注入的方法有很多,这里要说的其实就是漏洞演练平台Dvwa里的一种方式
直接看high级别的就可以了
$id = $_GET['id'];
$id = stripslashes($id);
$id = mysql_real_escape_string($id);
if (is_numeric($id)){
$getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'";
$result = mysql_query($getid) or die(''.mysql_error().'
');
$num = mysql_numrows($result);
可见它的处理方式是首先通过 stripslashes 函数删除变量中的反斜杠 \,
然后再使用函数mysql_real_escape_string 转义特殊字符就行了。
所以当我们编写类似代码的时候
$getid="SELECT first_name,last_name FROM users WHERE user_id='$id'";
我们最简单的方法是
慧博商城系统HuiboShop2011
慧博商城系统HuiboShop2011系统特色:1、上百套模板随意下载切换、模板定时更新;2、csv数据导入、数据定向读取,一键导入商品信息,省时、省力; 3、多会员等级管理,一站搞定零售、批发、代销;4、可集成网站分销功能模块,缔造庞大的代理业务链,代理客户一键铺货;5、代码严谨,防SQL注入;前后台用户分开管理,密码不可逆加密;6、简单易操作、只需几分钟搞定一个商城网站;商城后台帐号admin
下载
立即学习“PHP免费学习笔记(深入)”;
直接将变量$id 进行stripslashes 和 mysql_real_escape_string 处理。
注意: 这里并不是说这样就安全了, 这只是其中一种方式我可没说这就安全了。 更多的还要依据实际情况进行处理。
希望本文所述对大家的php程序设计有所帮助。
