Site icon 时鹏亮的Blog

PHP-如何进行防SQL注入?

请知悉:本文最近一次更新为 10年 前,文中内容可能已经过时。

过滤一些常见的数据库操作关键字, select ,insert,update,delete,and,*等或通过系统函数addslashes对内容进行过滤

php配置文件中register_globals=off;设置为关闭状态.(作用将注册全局变量关闭);如接收POST表单的值使用$_POST['user'],假设设置为ON的话$user才接收值。(这个特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。)

sql语句书写的时候尽量不要省略小引号(tab上面那个)和单引号

提高数据库命名技巧,对于一些重要的字段根据程序的特点命名,使之不易被猜中

对于常的方法加以封装,避免直接暴漏SQL语句

开启PHP安全模式safe_mode=on
(这个特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。)

打开magic_quotes_gpc来防止SQL注入,默认为关闭,开启后自动把用户提交sql查询语句进行转换把”'”转换成”'”
(这个特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。)

控制错误信息输出,关闭错误信息提示,将错误信息写到系统日志

使用MYSQLI或PDO预处理。


如您从本文得到了有价值的信息或帮助,请考虑扫描文末二维码捐赠和鼓励。

尊重他人劳动成果。转载请务必附上原文链接,我将感激不尽。


与《PHP-如何进行防SQL注入?》相关的博文:

Exit mobile version