1、防范SQL注入 使用mysql_real_escape_string函數(shù) 在數(shù)據(jù)庫(kù)操作的代碼中用這個(gè)函數(shù)mysql_real_escape_string可以將代碼中特殊字符過(guò)濾掉，如引號(hào)等如下例q = quotSELECT `id` FROM `users` WHERE `username`= #39；防sql注入 先對(duì)提交數(shù)據(jù)中的危險(xiǎn)字符過(guò)濾或編碼比如名稱(chēng)或帖子標(biāo)題，一定不能是html，直接進(jìn)行htmlencode ，最后輸出到頁(yè)面上，也不會(huì)變成html，而是顯示原始字符對(duì)需要使用html的內(nèi)容部分，過(guò)濾script，style等標(biāo)簽，或者。

2、注入式攻擊的類(lèi)型 可能存在許多不同類(lèi)型的攻擊動(dòng)機(jī)，但是乍看上去，似乎存在更多的類(lèi)型這是非常真實(shí)的如果惡意用戶(hù)發(fā)現(xiàn)了一個(gè)能夠執(zhí)行多個(gè)查詢(xún)的辦法的話(huà)本文后面，我們會(huì)對(duì)此作詳細(xì)討論如 果你的腳本正在執(zhí)行一個(gè)SELECT；偽造referer參數(shù)進(jìn)行了sql注入，執(zhí)行了遠(yuǎn)程代碼再一個(gè)防止sql注入的方法就是開(kāi)啟PHP的魔術(shù)配置，開(kāi)啟安全配置模式，將safe_mode開(kāi)啟on以及關(guān)閉全局變量模式，register_globals參數(shù)設(shè)置為on，magic_quotes_gpc參數(shù)開(kāi)啟，防止sql；由于SQL注入攻擊針對(duì)的是應(yīng)用開(kāi)發(fā)過(guò)程中的編程不嚴(yán)密，因而對(duì)于絕大多數(shù)防火墻來(lái)說(shuō)，這種攻擊是“合法”的問(wèn)題的解決只有依賴(lài)于完善編程專(zhuān)門(mén)針對(duì)SQL注入攻擊的工具較少，Wpoison對(duì)于用asp，php進(jìn)行的開(kāi)發(fā)有一定幫助；1函數(shù)的構(gòu)建 function inject_check$sql_str return eregi#39selectinsertupdatedelete\#39*\*\\\\\unionintoload_fileoutfile#39， $sql_str 進(jìn)行過(guò)濾 function verify_id$id。

3、I#39getid#39I#39postid#392Thinkphp50版本由于50版本將單字母方法取消了，取而代之的是一些語(yǔ)義更明確的方法名，I方法對(duì)應(yīng)的是input方法所有使用input方法來(lái)獲取postget等參數(shù)例如獲取id參數(shù)input#39；用戶(hù)可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼一般是在瀏覽器地址欄進(jìn)行，通過(guò)正常的；quot#39quot？ PDO參數(shù)綁定的原理是將命令與參數(shù)分兩次發(fā)送到MySQL，MySQL就能識(shí)別參數(shù)與命令，從而避免SQL注入在參數(shù)上構(gòu)造命令mysql在新版本PHP中已經(jīng)預(yù)廢棄，使用的話(huà)會(huì)拋出錯(cuò)誤，現(xiàn)在建議使用MySQLi或者M(jìn)ySQL_PDO；php中addslashes函數(shù)與sql防注入具體分析如下addslashes可會(huì)自動(dòng)給單引號(hào)，雙引號(hào)增加\，這樣我們就可以安全的把數(shù)據(jù)存入數(shù)據(jù)庫(kù)中而不黑客利用，參數(shù)#39az#39界定所有大小寫(xiě)字母均被轉(zhuǎn)義，代碼如下復(fù)制代碼 代碼如下echo。

4、PHP通用防注入安全代碼 說(shuō)明判斷傳遞的變量中是否含有非法字符 如$_POST$_GET 功能防注入 要過(guò)濾的非法字符 ArrFiltrate=array”‘”，，”union”出錯(cuò)后要跳轉(zhuǎn)的url，不填則默認(rèn)前一頁(yè) StrGoUrl=；首先是服務(wù)器的安全設(shè)置，這里有phpmysql的安全設(shè)置和linux主機(jī)的安全設(shè)置為了防止phpmysql注入，首先將magic_quotes_gpc設(shè)置為on，display_errors設(shè)置為Off如果是id類(lèi)型，我們用intval將其轉(zhuǎn)換成整數(shù)類(lèi)型，比如代碼id=。

5、防止SQL注入 opensns 對(duì)于WEB應(yīng)用來(lái)說(shuō)，SQL注入攻擊無(wú)疑是首要防范的安全問(wèn)題，系統(tǒng)底層對(duì)于數(shù)據(jù)安全方面本身進(jìn)行了很多的處理和相應(yīng)的防范機(jī)制，例如User = MquotUserquot 實(shí)例化User對(duì)象 Userfind$_GETquotidquot；當(dāng)然，我這里并不想討論其他語(yǔ)言是如何避免sql注入的，網(wǎng)上關(guān)于PHP防注入的各種方法都有，Python的方法其實(shí)類(lèi)似，這里我就舉例來(lái)說(shuō)說(shuō)起因漏洞產(chǎn)生的原因最常見(jiàn)的就是字符串拼接了，當(dāng)然，sql注入并不只是拼接一種情況，還有像。

6、但SQL注入是多方面的，防止的方法也有很多種1地址欄禁止特殊字符防SQL注入 把特殊字符如andor#39quot都禁止提交就可以防止注入了2php過(guò)濾html字符串，防止SQL注入 批量過(guò)濾post，get敏感數(shù)據(jù) _GET =。