Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2080498
  • 博文数量: 354
  • 博客积分: 4955
  • 博客等级: 上校
  • 技术积分: 4579
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-21 11:46
文章分类

全部博文(354)

文章存档

2015年(1)

2013年(4)

2012年(86)

2011年(115)

2010年(67)

2009年(81)

我的朋友

分类:

2009-08-07 14:33:54

SQL注入是一个很严重的问题,一个有经验的入侵者可以利用它存取敏感数据,或者破坏你的数据库,如果你不注意这个问题,将会对你网站和客户造成很大的损失。
我曾经很多这方面的向导,但是他们都试图 复杂化这个问题。说实话,在php+mysql的开发环境中,最简单的办法就是:利用函数传递你的数据。通过转意可以操作字段的特定的字符,避免了sql注入,请看下面的例子:

// 不安全的写法.
$query = "SELECT * FROM products WHERE name='$productname'";
mysql_query($query);
// 安全的写法
$query = sprintf("SELECT * FROM products WHERE name='%s'",
mysql_real_escape_string($productname));
mysql_query($query);



此方法仅在在php中有效,还要记住并不转意%和_。
怎么样,这个方法够简单吧!
阅读(6289) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~