sql注入与转义的php函数代码

更新时间：2013年06月17日 10:37:43 作者：

这篇文章主要介绍了sql的注入与转义代码，其实大家在使用过程中多参考dedecms 帝国 phpcms的代码，相信你的代码更安全

sql注入:

　　正常情况下:

　　　　delete.php?id=3;
　　　　$sql = 'delete from news where id = '.$_GET['id'];

　　恶意情况:

　　　　delete.php?id=3 or 1;
　　　　$sql = 'delete from news where id = 3 or 1'; -------如此执行后，所有的记录将都被删除

　　　应该采取相关措施。。。比如用之前先判断是否是数字等等。

要使自己相信，从客户端传来的信息永远是不可靠的！！

转义:

　　有时候从客户端传来的数据，可能恶意包含些特殊的字符，比如单引号、斜杠等，所以需要转义，转义成普通的字符，此时就要用到string addslashes ( string $str )，这个函数可以对某个变量进行转义。但是，如果对数组里的元素进行转义，就用foreach循环数组，如下：

复制代码代码如下:

　　foreach($_POST as $k=>$v) {
    　　if(is_string($v)) {
        $_POST[$k] = addslashes($v);
    　　}
　　}

　　但是如果数组中还包含数组，那就要递归进行转义了，此时用到

　　　　array_walk_recursive(array &$input , callback $funcname [, mixed $userdata ])

　　将用户自定义函数 funcname 应用到 array 数组中的每个单元。本函数会递归到更深层的数组中去。典型情况下 funcname 接受两个参数。input 参数的值作为第一个，键名作为第二个。如果提供了可选参数 userdata，将被作为第三个参数传递给 callback funcname。成功时返回 TRUE，或者在失败时返回 FALSE

　　　　　　也就是说：用自定义的函数，至少要能接收两个参数，而addslashes（）只能接收一个参数所以自定义一个函数如下:

复制代码代码如下:

　　　　　　function a(&$v,$k){
　　　　　　　　$v=addslashes($v);
　　　　　　}
　　　　　　array_walk_recursive(&$arr,'a');

系统自动转义:

　　PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可

　　魔术引号被打开后，系统会自动对$_GET,$_POST,$_COOKIE数据进行转义，在不知情的情况下，再次进行手动转义的话，就转多了，要想合理的进行转义，就要首先判断，魔术符号是否已经打开了，用magic_quotes_gpc()进行判断，不需要传值，关闭返回0，关闭返回1

复制代码代码如下:

　　if(!get_magic_quotes_gpc()) { // 如果魔术引号没开

    　　function _addslashes(&$v,$k) {
       　　 $v = addslashes($v);
　　 }
   　　 array_walk_recursive(&$_GET,'_addslashes');
    　　array_walk_recursive(&$_POST,'_addslashes');
   　　 array_walk_recursive(&$_COOKIE,'_addslashes');
　　}

您可能感兴趣的文章:

php中cookie实现二级域名可访问操作的方法
这篇文章主要介绍了php中cookie实现二级域名可访问操作的方法,对比了常用的setcookie函数用法,并给出了一个设置cookie的类文件来实现这一功能,是非常实用的技巧,需要的朋友可以参考下
2014-11-11
基于PHP创建Cookie数组的详解
本篇文章是对在PHP中创建Cookie数组的方法进行了详细的分析介绍，需要的朋友参考下
2013-07-07
PHP include_path设置技巧分享
当时候函数include(),require(),fopen_with_path()函数来寻找文件时候.在不设置include_path的情况下,这些函数打开文件时候默认的是以web根目录去寻找.当设置include_path以后,这些php函数就会先在指定的include_path目录下面去搜索寻找
2011-07-07
ThinkPHP实现递归无级分类——代码少
这篇文章通过一段简短的代码实现了ThinkPHP实现递归无级分类，,需要的朋友可以参考下
2015-07-07
PHP7.1新功能之Nullable Type用法分析
这篇文章主要介绍了PHP7.1新功能之Nullable Type用法,结合实例形式较为详细的对比分析了Nullable Type类型操作的使用技巧,需要的朋友可以参考下
2016-09-09
对text数据类型不支持代码页转换从: 1252 到: 936
错误的提示同样是不能从text的转换问题：这主要是由于数据库在设计的时候的数据类型存在Text——而我们采用的是中文操作系统。检查数据库的脚本，修改Text为ntext。支持unicode。
2011-04-04
解析smarty 截取字符串函数 truncate的用法介绍
本篇文章是对smarty 截取字符串函数 truncate的用法进行了详细的分析介绍，需要的朋友参考下
2013-06-06
继续收藏一些PHP常用函数
方便以后制作php程序，直接拿来就可以用了，其实一些好的函数都在一些较成熟的cms系统中都有，例如dedecms，帝国cms,phpcms等，不论是gb2312的还是utf8格式的都有。
2008-08-08
PHP调用Linux命令权限不足问题解决方法
这篇文章主要介绍了PHP调用Linux命令权限不足问题解决方法,本文是解决项目问题总结而来,通过修改sudo配置文件解决无权限执行命令问题,需要的朋友可以参考下
2015-02-02
PHP利用header跳转失效的解决方法
这篇文章主要介绍了PHP利用header跳转失效的解决方法,归纳了这类问题的注意事项,非常具有实用价值,需要的朋友可以参考下
2014-10-10