如何利用PHP函數解決SQL injection

這篇文章主要介紹“如何利用PHP函數解決SQL injection”，在日常操作中，相信很多人在如何利用PHP函數解決SQL injection問題上存在疑惑，小編查閱了各式資料，整理出簡單好用的操作方法，希望對大家解答”如何利用PHP函數解決SQL injection”的疑惑有所幫助！接下來，請跟著小編一起來學習吧！

　　作為一個開發者，你不知道每個用戶的magic_quotes_gpc是On還是Off，如果把全部的數據都用上addslashes()，那不是“濫殺無辜”了?假如magic_quotes_gpc=On，并且又用了addslashes()函數，那讓我們來看看：

　　//如果從表單提交一個變量$_POST['message']，內容為Tom'sbook

　　//這此加入連接MySQL數據庫的代碼，自己寫吧

　　//在$_POST['message']的敏感字符前加上反斜杠

　　$_POST['message']=addslashes($_POST['message']);

　　//由于magic_quotes_gpc=On，所以又一次在敏感字符前加反斜杠

　　$sql="INSERTINTOmsg_tableVALUE('$_POST[message]');";

　　//發送請求，把內容保存到數據庫內

　　$query=mysql_query($sql);

　　//如果你再從數據庫內提取這個記錄并輸出，就會看到Tom\'sbook

　　?>

　　這樣的話，在magic_quotes_gpc=On的環境里，所有輸入的單引號(')都會變成(\')……

　　其實我們可以用get_magic_quotes_gpc()函數輕易地解決這個問題。當magic_quotes_gpc=On時，該函數返回TRUE;當magic_quotes_gpc=Off時，返回FALSE。至此，肯定已經有不少人意識到：問題已經解決。請看代碼：

　　//如果magic_quotes_gpc=Off，那就為提單提交的$_POST['message']里的敏感字符加反斜杠

　　//magic_quotes_gpc=On的情況下，則不加

　　if(!get_magic_quotes_gpc()){

　　$_POST['message']=addslashes($_POST['message']);

　　}else{}

　　?>

　　怎樣用PHP函數解決SQLinjection

　　其實說到這里，問題已經解決。下面再說一個小技巧。

　　有時表單提交的變量不止一個，可能有十幾個，幾十個。那么一次一次地復制/粘帖addslashes()，是否麻煩了一點?由于從表單或URL獲取的數據都是以數組形式出現的，如$_POST、$_GET)?那就自定義一個可以“橫掃千軍”的函數：

　　functionquotes($content)

　　{

　　//如果magic_quotes_gpc=Off，那么就開始處理

　　if(!get_magic_quotes_gpc()){

　　//判斷$content是否為數組

　　if(is_array($content)){

　　//如果$content是數組，那么就處理它的每一個單無

　　foreach($contentas$key=>$value){

　　$content[$key]=addslashes($value);

　　}

　　}else{

　　//如果$content不是數組，那么就僅處理一次

　　addslashes($content);

　　}

　　}else{

　　//如果magic_quotes_gpc=On，那么就不處理

　　}

　　//返回$content

　　return$content;

　　}

　　?>

到此，關于“如何利用PHP函數解決SQL injection”的學習就結束了，希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習，快去試試吧！若想繼續學習更多相關知識，請繼續關注億速云網站，小編會繼續努力為大家帶來更多實用的文章！