MYSQL 的防SQL注入

周大胖子

1. if (get_magic_quotes_gpc())
2. {
3.   $name = stripslashes($name);
4. }
5. $name = mysqli_real_escape_string($conn, $name);
6. mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}'");

复制代码

PHP 的MYSQL  扩展提供了 mysql_real_escape _string（）


LIKe 语句的注入

1. $sub = addcslashes(mysqli_real_escape_string($conn, "%something_"), "%_");
2. // $sub == \%something\_
3. mysqli_query($conn, "SELECT * FROM messages WHERE subject LIKE '{$sub}%'");

复制代码

1. addcslashes() 函数在指定的字符前添加反斜杠。

复制代码