PHP面試之php自帶的幾個防止sql注入的函數(shù)

本文格式為Word版，下載可任意編輯——PHP面試之php自帶的幾個防止sql注入的函數(shù)PHP面試之php自帶的幾個防止sql注入的函數(shù)

畢業(yè)季又到了，同學(xué)們是不是正為此煩擾呢?以下是我用心為大家整理的PHP面試之php自帶的幾個防止sql注入的函數(shù)，夢想對大家有所扶助!更多內(nèi)容請關(guān)注應(yīng)屆畢業(yè)生網(wǎng)!

SQL注入攻擊是黑客攻擊網(wǎng)站最常用的手段。假設(shè)你的站點沒有使用嚴格的用戶輸入檢驗，那么常輕易遭到SQL注入攻擊。SQL注入攻擊通常通過給站點數(shù)據(jù)庫提交不良的數(shù)據(jù)或查詢語句來實現(xiàn)，很可能使數(shù)據(jù)庫中的紀錄遭到暴露，更改或被刪除。

為了防止SQL注入攻擊，PHP自帶一個功能可以對輸入的字符串舉行處理，可以在較底層對輸入舉行安好上的`初步處理，也即MagicQuotes。php.inimagic_quotes_gpc。默認處境下開啟，假設(shè)magic_quotes_gpc選項啟用，那么輸入的字符串中的單引號，雙引號和其它一些字符前將會被自動加上反斜杠。

但MagicQuotes并不是一個很通用的解決方案，沒能屏蔽全體有潛在危害的字符，并且在大量服務(wù)器上MagicQuotes并沒有被啟用。所以，我們還需要使用其它多種方法來防止SQL注入。

大量數(shù)據(jù)庫本身就供給這種輸入數(shù)據(jù)處理功能。例如PHP的MySQL操作函數(shù)中有addslashes、mysql_real_escape_string、mysql_escape_string等函數(shù)，可將特殊字符和可能引起數(shù)據(jù)庫操作出錯的字符轉(zhuǎn)義。那么這三個功能函數(shù)之間有什么卻別呢?下面我們就來細致陳述下。

雖然國內(nèi)好多PHP程序員仍在依靠addslashes防止SQL注入，還是建議大家加強中文防止SQL注入的檢查。addslashes的問題在于黑客可以用0xbf27來代替單引號，而addslashes只是將0xbf27修改為0xbf5c27，成為一個有效的多字節(jié)字符，其中的0xbf5c仍會被看作是單引號，所以addslashes無法告成攔截。

當(dāng)然addslashes也不是毫無用處，它是用于單字節(jié)字符串的處理，多字節(jié)字符還是用mysql_real_escape_string吧。

另外對于php手冊中g(shù)et_magic_quotes_gpc的舉例：

if!get_magic_quotes_gpc

$lastname=addslashes$_POST[lastname];

else

$lastname=$_POST[lastname];

最好對magic_quotes_gpc已經(jīng)開放的處境下，還是對$_POST[lastname]舉行檢查一下。

再說下mysql_real_escape_string和mysql_escape_string這2個函數(shù)的識別：

mysql_real_escape_string務(wù)必在PHP4=4.3.0,PHP5的處境下才能使用。否那么只能用mysql_escape_string，兩者的識別是：mysql_real_escape_string考慮到連接的當(dāng)前字符集，而mysql_escape_string不考慮。

總結(jié)一下：

*addslashes是強行加;

*mysql_real_escape_string會判斷字符集，但是對PHP版本有要求;

*mysql_escape_string不考慮連接的當(dāng)前字符集。

dz中的防止sql注入就是用addslashes這個函數(shù)，同時在dthmlspecialchars這個函數(shù)中有舉行一些替換