php 防Sql注入函数的简单示例

传入用户提交的参数时使用这段代码提供的函数先对参数进行处理，然后传入sql语句，
用：

MysqLquery(INSERT INTO table VALUES(' . sqlsanitize($_POST[variable) . '));

替代：

MysqLquery(INSERT INTO table VALUES(' . $POST[variable] . ');

感兴趣的小伙伴，下面一起跟随编程之家 jb51.cc的小编来看看吧。
经测试代码如下：


/**
 * 防止sql注入的sql代码。
 *
 * @param 
 * @arrange (编程之家) jb51.cc
 * 示例：MysqL_query（'UPDATE table SET value =＆quot;'。sql_sanitize（＆quot;'SET id ='4'＆quot;）。'＆quot; WHERE id =＆quot; 1＆quot;'）;
 * 要求：PHP 4或更高版本
 **/
function sql_sanitize( $sCode ) {
 if ( function_exists( MysqL_real_escape_string ) ) {  // If PHP version > 4.3.0
  $sCode = MysqL_real_escape_string( $sCode );  // Escape the MysqL string.
 } else { // If PHP version < 4.3.0
  $sCode = addslashes( $sCode );    // Precede sensitive characters with a backslash \
 }
 return $sCode;       // Return the sanitized code
}


/***   代码来自编程之家 jb51.cc（jb51.cc）   ***/

防注入

php 防Sql注入函数的简单示例

相关文章