防范SQL注入漏洞攻击

时间:2022-11-08 00:19:00

原理:通过拼sql语句,在输入框里输入' ; SHOW TABLES;注入这样的代码,

防范:你把全部的特殊符号都过滤掉(如单引号,双引号),自然就不会被注入

使用mysql_real_escape_string()函数

在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉,如引号等。如下例:

$t_username = str_replace(" ", "", $_POST['t_username']);
$t_username = mysql_real_escape_string($t_username);
$sql = "select t_passward from users where t_username='$t_username'";