PHP防止数据库字符串登录SQL注入攻击

<?php

header("Content-Type:text/html;charset=UTF-8");

// 数据库配置

include_once 'config.php';

// 获得传递参数

$user_name=isset($_request['user_name'])?$_request['user_name']:'';

$user_password=isset($_request['user_password'])?$_request['user_password']:'';

// 判断是否是非法字符串

// 防止SQL注入

if (empty($user_name)||empty($user_password)||!preg_match("/^[a-zA-Z0-9]{6,}$/", $user_name))

{

die('警告：输入错误！');

}

// 连接数据库

$conn=mysql_connect($Db_Server,$Db_User,$Db_Pwd);

// 判断连接是否成功

if (!$conn)

{

die("不能连接数据库，错误是: " . mysql_error());

}

// 数据库输出编码，应该与你的数据库编码保持一致。建议用UTF-8国际标准编码

mysql_query("set names 'utf8'"); 

// 打开数据库

$db_selected = mysql_select_db($Db_Name, $conn);

// 判断打开是否成功

if (!$db_selected)

{

die ("不能打开数据库，错误是: " . mysql_error());

}

// SQL语句

$sql ="select * from demo where user_name='".addslashes($user_name)."' AND password='".md5($user_password)."'";

// 查询SQL语句

$result = mysql_query($sql,$conn); 

// 判断是否有数据

if (!$result)

{

die("查询失败: " . mysql_error());

}

// 循环读取数据

while($row = mysql_fetch_array($result))

{

// 读数据

echo $row['content'];

}

// 使用完毕关闭数据库连接

mysql_close();

?>