SQL注入,是指一些精通SQL语句的用户,通过在表单或浏览器地址栏中输入SQL语句来绕过系统检验的一种技术。一般防范SQL注入的手段是过滤敏感字符,例如引号等。
相对于ASP来说,PHP要安全得多,但这不代表PHP网站就不会出现SQL注入的情况。幸运的是,在PHP上防SQL注入,要比ASP简单、方便,不需要编写一大段的转换语句,只要几个函数就可以。
(1)intval()函数
intval()函数的作用是返回变量的整数值,其语法如下:
- int intval ( mixed var [, int base] )
(2)addslashes()函数
addslashes()函数用于在操作数据库时,对其中的特殊字符进行自动转义,即在特殊字符前加上反斜杠(\),包括单引号(')、双引号(")、NULL,但是不包括"%"和"_"。其语法格式如下:
- string addslashes ( string str )
此外,还可以使用mysql_real_escape_string()来进行转义,效果和addslashes()函数是一样的。 |
