PHP防sql注入还在用addslashes和mysql_real_escape_string么?
看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_string也有黑客可以绕过的办法,如果你的系统仍在用上面三个方法,那么我的这篇博文就有了意义,以提醒所有后来者绕过这个坑。
用str_replace以及各种php字符替换函数来防注入已经不用我说了,这种“黑名单”式的防御已经被证明是经不起时间考验的。
大家不妨试试这种方法,可以有效的防止sql注入,如果大家有绕过这种方法的办法,可以告诉我,我谢谢了,会进一步改进完善!
,
