mysql-防止sql注入

yangdong · 发表于 2017-9-22 20:21:23

您需要登录才可以下载或查看，没有帐号？立即注册

x

当我们登陆的时候，要做判断输入的用户名是否为数字（只能数字形式的登陆，比如QQ等等）
在php里使用函数is_numeric($var)

[PHP] 纯文本查看 复制代码

if(  !is_numeric( $_POST['id'] ) ){
    die("输入的用户名不是数字，请重新输入!");
//上述代码判断一个通过post传过来的参数是否为数字类型的，如果不是数字类型的，则输出一段话，并停止程序运行
}

有必要可以判断一下是否小于0之类的，反正对安全有威胁的都要判断

还有一种方法是对输入的字符进行转义：
使用函数：

[PHP] 纯文本查看 复制代码

addslashes( );

效果：

还有一个mysqli php中的一个扩展函数（对特殊字符进行转义）：

[PHP] 纯文本查看 复制代码

mysqli_real_escape_string($link, $string_to_escape);

它有两个参数，$link是数据库连接实例，第二个是要转义的字符串，效果和上面那个函数差不多，感觉还是addslashes( )好用。