文件名称:PHP中的代码安全和SQL Injection防范3
文件大小:1KB
文件格式:TXT
更新时间:2012-03-09 10:43:50
防范3
呵呵,那么我们就能够进行校验了,于是我们上面的程序代码就变成了下面的: 以下为引用的内容: 好,问题到这里似乎都解决了,但是我们有没有考虑过post提交的数据,大批量的数据呢? 比如一些字符可能会对数据库造成危害,比如 ' _ ', ' % ',这些字符都有特殊意义,那么我们如果进行控制呢?还有一点,就是当我们的php.ini里面的magic_quotes_gpc = off 的时候,那么提交的不符合数据库规则的数据都是不会自动在前面加' \ '的,那么我们要控制这些问题,于是构建如下函数: 以下为引用的内容: /* 函数名称:str_check() 函数作用:对提交的字符串进行过滤 参 数:$var: 要处理的字符串 返 回 值:返回过滤后的字符串 函数作者:heiyeluren */ function str_check( $str ) { if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开 { $str = addslashes($str); // 进行过滤 } $str = str_replace("_", "\_", $str); // 把 '_'过滤掉 $str = str_replace("%", "\%", $str); // 把' % '过滤掉 return $str; } OK,我们又一次的避免了服务器被沦陷的危险。