php防止mysql注入
1、PHP预定义字符是:单引号(’)、双引号(”)、反斜杠(\)、NULL
注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),即magic_quotes_gpc()=on。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
2、mysql注入所必须的两个条件:
(1)没有过滤(用mysql_real_escape_string()进行过滤)
(2)没有转义(PHP自带转义magic_quotes_gpc()=on,如果关闭,则可以用addslashes()进行转义)
Php面对传值的三个安全过滤步骤:
1、trim():函数过滤掉头和尾的空格
2、Htmlspecialchars():函数把预定义字符串转化为实体,可以防止因为PHP_SELF带来的XSS攻击
3、Stripslashes():去掉反斜杠
4、Addslashes():添加反斜杠
php防注入安全过滤函数:
function check_input($data){
//对特殊符号添加反斜杠
$data = addslashes($data);
//判断自动添加反斜杠是否开启
if(get_magic_quotes_gpc()){
//去除反斜杠
$data = stripslashes($data);
}
//把'_'过滤掉
$data = str_replace("_", "\_", $data);
//把'%'过滤掉
$data = str_replace("%", "\%", $data);
//把'*'过滤掉
$data = str_replace("*", "\*", $data);
//回车转换
$data = nl2br($data);
//去掉前后空格
$data = trim($data);
//将HTML特殊字符转化为实体
$data = htmlspecialchars($data);
return $data;
}