当前位置:  首页  >  PHP教程  >  PHP 应用  >  代码收藏

php过滤sql注入关键词分析-PHP源码

1.使用mysql_real_escape_string代替addslashes对输入进行转义2.字段值两边加上单引号
1.使用mysql_real_escape_string代替 addslashes对输入进行转义 2.字段值两边加上单引号

《script》ec(2);《script》

str_replace替换sql 中的 update 这种做法本身就是错误的, 原因如下:

如果sql中本来就有update字段,如以下的SQL

代码如下
$sql = "update content = 'update your name ..' where userid=1"

那么,你用str_replace替换的后果是什么? 只要用户提交的内容中包含有update,

delete, alter均被篡改?  这是多么可怕的事!!!

那么正确的办法是什么呢?

代码如下
$content = mysql教程_real_escape_string($content);
$sql = "update content = '$content' where userid=1
吐了个 "CAO" !
扫码关注 PHP1 官方微信号
PHP1.CN | 中国最专业的PHP中文社区 | PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | PHP问答
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有