php中防止sql注入的解决方法总结

yxixi

　　sql注入***是******网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么常容易遭到SQL注入***。
　　SQL注入***通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。
　　为了防止SQL注入***，PHP自带一些函数可以对输入的字符串进行处理，例如PHP的MySQL操作函数中有addslashes()、mysql_real_escape_string()、mysql_escape_string()等函数，可将特殊字符和可能引起数据库操作出错的字 符转义。那么这三个功能函数之间有什么却别呢?下面我们就来详细讲述下。
　　（1）mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符，并考虑到连接的当前字符集
　　使用方法如下：
    $sql="select count(*) as ctr from users where username    ='".mysql_real_escape_string($username)."' and    password='".mysql_real_escape_string($pw)."' limit 1";　　使用 mysql_real_escape_string() 作为用户输入的包装器，就可以避免用户输入中的任何恶意 SQL 注入。
　　（2）addslashes防止SQL注入
　　虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入，还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于***可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。
　　当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。
　　（3） 打开magic_quotes_gpc来防止SQL注入
　　php.ini中有一个设置：magic_quotes_gpc = Off
　　这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
　　比如把 ' 转为 \'等，对于防止sql注射有重大作用。
　　最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下。
if (!get_magic_quotes_gpc()) { 　　$lastname = addslashes($_POST[‘lastname’]); } else { 　　$lastname = $_POST[‘lastname’]; }　　再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：
　　mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：mysql_real_escape_string 考虑到连接的当前字符集，而mysql_escape_string 不考虑。
　　（4）自定义函数
    functioninject_check($sql_str){    returneregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$sql_str);    }    functionverify_id($id=null){    if(!$id){    exit('没有提交参数！');    }elseif(inject_check($id)){    exit('提交的参数非法！');    }elseif(!is_numeric($id)){    exit('提交的参数非法！');    }    $id=intval($id);    return$id;    }         functionstr_check($str){    if(!get_magic_quotes_gpc()){    $str=addslashes($str);// 进行过滤    }    $str=str_replace("_","\_",$str);    $str=str_replace("%","\%",$str);    return$str;    }         functionpost_check($post){    if(!get_magic_quotes_gpc()){    $post=addslashes($post);    }    $post=str_replace("_","\_",$post);    $post=str_replace("%","\%",$post);    $post=nl2br($post);    $post=htmlspecialchars($post);    return$post;    }　　总结一下：
　　addslashes() 是强行加;
　　mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求;mysql_escape_string不考虑连接的当前字符集。
　　dz 中的防止sql注入就是用addslashes这个函数，同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace(/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/, &\1,这个替换解决了注入的问题，同时也解决了中文乱码的一些问题。