SQL -Injektionen sind Angriffe gegen eine Website , die auf der Website der SQL-Datenbank durchgeführt . Eine große Anzahl von Webseiten mit PHP , mit ihren Datenbanken zu kommunizieren, und es gibt ein paar Möglichkeiten, um gegen SQL -Injektionen durch den richtigen Einsatz von PHP zu schützen. Verwenden Sie MySQL Flucht String

" mysql_escape_string ()" -Funktion nimmt einen String-Eingang in PHP und gibt die Zeichenfolge mit allen SQL Sonderzeichen auskommentiert , so dass sie nicht schädlich für die Datenbank . Ein Beispiel für seine Verwendung ist wie folgt:

$ NeuerString = mysql_escape_string ($ inputString );
entfernen Einzel Quotes

Einfache Anführungszeichen sind Zeichen in SQL dass bezeichnen den Beginn und das Ende der Felder , und kann der erste Schritt in Richtung einer SQL -Injection-Angriff sein . Entfernen Sie sie aus der Input-String wie folgt:

$ NeuerString = str_replace ($ inputString ", " "," ");
Setzen Sie ein Flucht Zeichen vor Sonderzeichen

Benutzen Sie den " str_replace () "-Funktion , um Schrägstriche vor Sonderzeichen setzen . Wenn ein Schrägstrich vor einem besonderen Charakter , wird SQL den besonderen Charakter als normalen Text behandeln. Zum Beispiel könnten Sie den folgenden Code, um einen Schrägstrich vor allen Semikolon setzen :

$ NeuerString = str_replace ($ inputString , "; ", " \\ ; ");
Rabatt- Mysql wahre Flucht String

" mysql_real_escape_string ( ) "-Funktion ist vergleichbar mit dem " mysql_escape_string () "-Funktion , außer dass es auf binäre Daten können verwendet werden . Die Nutzung dieser Funktion ist identisch mit der mysql_escape_string ()-Funktion , etwa so:

$ NeuerString = mysql_real_escape_string ( $ inputString );