1)不要使用字符串拼接函数组成sql语句;使用参数类型判断以及类型转换;
2)使用参数绑定方式执行sql;PDO即是使用的这种方式;
3)使用PHP自带的addslashes()对单引号’、双引号"、反斜线\ 字符进行转义,htmlentities()、htmlspecialchars()、mysql_escape_string() ;还有专门进行shell的过滤函数:escapeshellarg escapeshellcmd 分别对参数以及命令转义。
4)使用PDO
常见防注入方法:
1)不要使用字符串拼接函数组成sql语句;使用参数类型判断以及类型转换;
2)使用参数绑定方式执行sql;PDO即是使用的这种方式;
3)使用PHP自带的addslashes()对单引号’、双引号"、反斜线\ 字符进行转义,htmlentities()、htmlspecialchars()、mysql_escape_string() ;还有专门进行shell的过滤函数:escapeshellarg escapeshellcmd 分别对参数以及命令转义。
4)使用PDO
常见防注入方法: