php项目防止sql注入的方法

  Sql注入：通过在表单中添加特殊的字符或url中增加特殊的字符，然后向数据库发起请求，拼凑出sql语句，达到攻击的目的

有两种：

1、Post

2、Get

 

Post的万能密码：xxx’or‘1

如何防范万能密码:

最简单的方式，就是密码加密：md5， sha1

万能用户名：xxxx' OR 1#

如何防范万能用户名：

让单引号失去本身的含义，利用addslashes函数进行转义，以下为转义的函数：

function deepslashes($data){//判断$data的表现形式，并且需要处理空的情况if(empty($data)){return $data;}//中高级程序员写法return is_array($data) ? array_map('deepslashes', $data) : addslashes($data);}

在接受get传参的时候，也需要处理一下，通常就是传递id的时候。

处理方法很简单，只需要将参数 转成 整型即可。

如 1 or 1 -----> 1

有哪些方式：

1、强制转换，使用函数intval 或者 数据类型的 关键字 int

2、隐式转换，通过运算， 只需要 +0 即可