Ako sa chrániť proti SQL injekciu v PHP

SQL injekcie sú útoky vykonávané na webové stránky , ktoré sa zameriavajú na webové stránky SQL databázy . Veľké množstvo webových stránok pomocou PHP pre komunikáciu so svojimi databázami , a existuje niekoľko spôsobov , ako sa chrániť proti SQL injekciu cez správne použitie PHP . Použitie MySQL Útek String

" mysql_escape_string ( ) " funkcia má vstup reťazca v PHP a výstupy reťazec s akýmikoľvek špeciálnymi znakmi SQL v poznámkach , takže nemôžu poškodiť databázu . Príkladom jeho použitie je nasledovné :

$ newString = mysql_escape_string ( $ inputString ) ;
Odstrániť apostrofy

Jednotlivé citácie sú znaky SQL , ktoré označujú začiatok a koniec poľa , a môže byť prvým krokom na ceste k útoku SQL injection . Odstráňte je zo vstupného reťazca takto :

$ newString = str_replace ( $ inputString , " " " , " " ) ;
Dajte o útek znak v prednej časti špeciálne znaky

použite " str_replace ( ) " funkcia , aby lomítka pred špeciálnymi znakmi . Ak lomítko je v prednej časti špeciálny znak , SQL bude liečiť špeciálny znak ako obyčajný text . Napríklad môžete použiť nasledujúci kód , aby lomítko pred akýmikoľvek bodkočiarkami :

$ newString = str_replace ( $ inputString , " " , " \\ , " ) ;

používať MySQL v reálnom Esc String

" mysql_real_escape_string ( ) " funkcia je podobná " mysql_escape_string ( ) " funkcie, okrem toho , že sa používa na binárne dáta . Použitie tejto funkcie je identická s mysql_escape_string ( ) funkcie , ako tak :

$ newString = mysql_real_escape_string ( $ inputString ) ;

• Predchádzajúca strana: Skryté Vstupné nebezpečenstvo s PHP 
• Ďalšia strana: PHP MySQL pripojenie funkčné testy