本文探讨了如何在PHP中防止SQL注入攻击,强调使用数据库自带的转义函数及PDO预处理语句的重要性,并提到了一些实用的字符串操作技巧。
1,转义字符防SQL注入,不要使用addslashes,而要使用数据库的函数mysqli->real_escape_string,或pdo的PDO::prepare(),PDO::bindParam自动转义
2,htmlspecialchars只在展示页面使用,入库不使用
3,php_mysql已废弃(5.4),请使用mysqli或pdo(推荐)
字符串:
1,“逗号”也可以作为链接字符串符号
$format = '学校%s大约有%d个学生';
printf($format, $school, $sum);3,拼接url参数,http_build_query()
4,分页只需要2个参数:总数和limit偏移
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
