SQL注入攻击:php篇

本文介绍了如何通过使用注释和适当处理表单数据来避免SQL注入攻击的方法。文章详细解释了如何利用注释号--来欺骗MySQL,以及如何通过trim()函数和mysqli_real_escape_string()函数来确保数据的安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.用注释欺骗MySQL

注释号--导致SQL代码行的余下部分被忽略

SQL注入所利用的漏洞是没有验证表单域中可能出现的危险字符。“危险字符”就是任何有可能改变一个SQL查询实质的字符,如逗号、引号或--注释字符,甚至一段数据最后的空格也可能是有害的。


2.SQL注入可以通过适当的处理表单数据来避免。

trim()函数去除这个表单数据的前导或末尾空格(去除额外空格)

mysqli_real_escape_string(),它会将可能有危险的字符进行转义,使它不能有意义地影响查询的执行。


3 一种更好的INSERT手段



4 表单验证再聪明也不为过




评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值