防止SQL注入攻击-任鹏个人博客

对于操作数据库的SQL语句，需要特别注意安全性，因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子：

$sql = "select * from pinfo where product = '$product'";

此时如果用户输入的$product参数为：

39'; DROP pinfo; SELECT 'FOO

那么最终SQL语句就变成了如下的样子：

select product from pinfo where product = '39'; DROP pinfo; SELECT 'FOO'

这样就会变成三条SQL语句，会造成pinfo表被删除，这样会造成严重的后果。

这个问题可以简单的使用PHP的内置函数解决：

$sql = 'Select * from pinfo where product = '"' 
       mysql_real_escape_string($product) . '"';

防止SQL注入攻击需要做好两件事：

对输入的参数总是进行类型验证

对单引号、双引号、反引号等特殊字符总是使用mysql_real_escape_string函数进行转义

但是，这里根据开发经验，不要开启php的Magic Quotes，这个特性在php6中已经废除，总是自己在需要的时候进行转义。

防止SQL注入攻击