小編給大家分享一下php怎樣防sql注入，希望大家閱讀完這篇文章后大所收獲，下面讓我們一起去探討吧！

成都創(chuàng)新互聯(lián)服務(wù)項目包括杜爾伯特網(wǎng)站建設(shè)、杜爾伯特網(wǎng)站制作、杜爾伯特網(wǎng)頁制作以及杜爾伯特網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，杜爾伯特網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到杜爾伯特省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

php防sql注入的方法：1、使用MySQL_real_escape_string方法轉(zhuǎn)義SQL語句中使用的字符串中的特殊字符；2、打開magic_quotes_gpc來防止SQL注入；3、通過自定義函數(shù)防sql注入。

PHP+Mysql防止SQL注入的方法

這篇文章介紹的內(nèi)容是關(guān)于PHP+Mysql防止SQL注入的方法：

方法一：

mysql_real_escape_string -- 轉(zhuǎn)義 SQL 語句中使用的字符串中的特殊字符，并考慮到連接的當(dāng)前字符集 ！

$sql = "select count(*) as ctr from users where username
='".mysql_real_escape_string($username)."' and
password='". mysql_real_escape_string($pw)."' limit 1";

方法二：

打開magic_quotes_gpc來防止SQL注入。php.ini中有一個設(shè)置：magic_quotes_gpc = Off這個默認(rèn)是關(guān)閉的，如果它打開后將自動把用戶提交對sql的查詢進(jìn)行轉(zhuǎn)換，比如把 ' 轉(zhuǎn)為 \'等，對于防止sql注射有重大作用。

如果magic_quotes_gpc=Off，則使用addslashes()函數(shù)。

方法三：

自定義函數(shù)

/**
* 防止sql注入自定義方法一
* author: xiaochuan
* @param: mixed $value 參數(shù)值
*/ 
function check_param($value=null) { 
        #  select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile
    $str = 'select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
  
    if(!$value) {
  
        exit('沒有參數(shù)！'); 
  
    }elseif(eregi($str, $value)) { 
  
        exit('參數(shù)非法！');
  
    }
  
    return true; 
} 
   
  
  
  
  
  
  
/**
* 防止sql注入自定義方法二
* author: xiaochuan
* @param: mixed $value 參數(shù)值
*/
function str_check( $value ) { 
  
    if(!get_magic_quotes_gpc()) { 
  
        // 進(jìn)行過濾 
        $value = addslashes($value); 
  
    } 
  
    $value = str_replace("_", "\_", $value); 
  
    $value = str_replace("%", "\%", $value); 
       
   return $value; 
} 
   
  
  
  
  
  
/**
* 防止sql注入自定義方法三
* author: xiaochuan
* @param: mixed $value 參數(shù)值
*/
function post_check($value) { 
  
    if(!get_magic_quotes_gpc()) {
  
        // 進(jìn)行過濾  
        $value = addslashes($value);
  
    } 
  
    $value = str_replace("_", "\_", $value); 
  
    $value = str_replace("%", "\%", $value); 
  
    $value = nl2br($value); 
  
    $value = htmlspecialchars($value); 
  
    return $value; 
}

看完了這篇文章，相信你對php怎樣防sql注入有了一定的了解，想了解更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！