武汉PHP培训
达内武汉民大中心

18062071755

热门课程

PHP开发注意之SQL注入攻击

  • 时间:2018-12-26 17:37
  • 发布:武汉php培训
  • 来源:互联网

对于操作数据库的SQL语句,需要特别注意安全性,因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子:

$sql = "select * from pinfo where product = '$product'";

武汉php培训

此时如果用户输入的$product参数为:

39'; DROP pinfo; SELECT 'FOO

那么最终SQL语句就变成了如下的样子:

select product from pinfo where product = '39'; DROP pinfo; SELECT 'FOO'

这样就会变成三条SQL语句,会造成pinfo表被删除,这样会造成严重的后果。

这个问题可以简单的使用PHP的内置函数解决:

$sql = 'Select * from pinfo where product = '"'

mysql_real_escape_string($product) . '"';

防止SQL注入攻击需要做好两件事:

对输入的参数总是进行类型验证

对单引号、双引号、反引号等特殊字符总是使用mysql_real_escape_string函数进行转义

但是,这里根据开发经验,不要开启php的Magic Quotes,这个特性在php6中已经废除,总是自己在需要的时候进行转义。

本篇文章是有武汉PHP培训为您呈现,希望给您带来更多更好的文章

马上预约七天免费试听课

姓名:

电话:

上一篇:我们为什么要选择php
下一篇:分析php框架--ThinkPHP

学习PHP是自学还是上培训班?

PHP语言都可以做什么?

武汉php培训:目前PHP的发展前景

武汉PHP培训:作为php工程师的技能要求

选择城市和中心
贵州省

广西省

海南省

有位老师想和您聊一聊