一般来说防范SQL注入是手段主营是过滤敏感字符,例如引号等。因为使用PHP语言开发相对于ASP来说更安全。但这并不代表PHP开发的网站就不会出现SQL注入的情况。幸运的是在PHP上防SQL注入要比ASP简单、方便,我们不需要写一大段代码来转换语句,只要用几个函数就可以。
1、 intval()函数
intval()函数的作用是返回变量的整数值,函数语法如下:
in intval(mixed var[,int base])
2、 addslashes()函数
addslashes()函数就是在操作数据库时,对其中的特殊字符进行自动转义,即在特殊字符前加上反斜杠(\),包括单引号(‘)、双引号(“)、NULL,但是不包括”%”和”-”。函数语法如下:
string addslashes(string str)
此外,还可以使用mysql-real-escape-string()来进行转义,效果和addslashes()函数是一样的。
当然,在PHP开发网站系统时也可以通过对php.ini文件的修改来到达防SQL注入的目的。