php 防Sql注入函数的解决办法
内容摘要
这篇文章主要为大家详细介绍了php 防Sql注入函数的简单示例,具有一定的参考价值,可以用来参考一下。
传入用户提交的参数时使用这段代码提供的函数先对参数进行处理,然后传入s
传入用户提交的参数时使用这段代码提供的函数先对参数进行处理,然后传入s
文章正文
这篇文章主要为大家详细介绍了php 防Sql注入函数的简单示例,具有一定的参考价值,可以用来参考一下。
传入用户提交的参数时使用这段代码提供的函数先对参数进行处理,然后传入sql语句,用:mysqlquery("INSERT INTO table VALUES('" . sqlsanitize($_POST["variable") . "')");
替代:
mysqlquery("INSERT INTO table VALUES('" . $POST["variable"] . "'");
对此感兴趣的朋友,看看idc笔记做的技术笔记。经测试代码如下:
/**
* 防止SQL注入的SQL代码。
*
* @param
* @arrange (www.idcnote.com)
* 示例:mysql_query('UPDATE table SET value ="'。sql_sanitize("'SET id ='4'")。'" WHERE id =" 1"');
* 要求:PHP 4或更高版本
**/
function sql_sanitize( $sCode ) {
if ( function_exists( "mysql_real_escape_string" ) ) { // If PHP version > 4.3.0
$sCode = mysql_real_escape_string( $sCode ); // Escape the MySQL string.
} else { // If PHP version < 4.3.0
$sCode = addslashes( $sCode ); // Precede sensitive characters with a backslash \
}
return $sCode; // Return the sanitized code
}
/*** 代码来自php教程(www.idcnote.com) ***/注:关于php 防Sql注入函数的简单示例的内容就先介绍到这里,更多相关文章的可以留意
代码注释
作者:喵哥笔记
