自动把引号转义
1.防御sql注入的基本原则
任何时候不应该改变用户的输入
比如用户输入单引号,那输出也要是单引号。
几种基本的防御方法
1.过滤
——字符型
mysql_real_esc
使用转义\
addslashes() 只收字符型的参数。
mysql_real_escape_string 只接受一个参数 。前提 当前页面连接数据库
2 检查数据类型
使用(int)或settype()等将数字等进行强制转换
对邮箱、日期等也就行检查
对邮箱、日期等也就行检查
4.使用预编译语句绑定变量(一般为防御SQL注入的最佳方式)
4.前沿防御方式
machine learnin