PHP入门

1.如果动态构造的sql语句中包含参数,请必须对参数做如下操作:

a.将'(单引号)替换成''(两个单引号)

首先我们推荐filter_sanitize_string ,filter_sanitize_string 过滤器去除或编码不需要的字符.

这个过滤器删除那些对应用程序有潜在危害的数据,它用于去除标签以及删除或编码不需要的字符.

要防sql注入我必须从sql语句到php get post 等数据接受处理上来做文章了,下面我们主要讲php 与mysql的sql语句上处理方法,可能忽略的问题.

看这个例子,代码如下:

注意:以下代码需要打开php的gd库,修改php.in文件的配置,把已经注释掉的行之前的分号取消即可:extension=php_gd2.dll.

实例一,代码如下:

在写用户验证页面,如注册,登录的时候,为了加强用户登录的安全性,添加验证码验证,验证码通过gd生成png图片,并把$randval随机数字赋给$_session['login_check_num'],在通过用户输入的$_post进行比较,来判断是否正确,达到需要实现的功能,需要修改php.ini文件,使php支持gd库.

为了数据安全,防止注入需要过滤$_GET获得的字符串,一开始我还自已写过滤的函数,后来看到php自带的一个过滤函数,所以把addslashes推荐给大家.

一个使用 addslashes() 的例子是当你要往数据库中输入数据时,例如,将名字 O'reilly插入到数据库中,这就需要对其进行转义,大多数据库使用作为转义符：O'reilly,这样可以将数据放入数据库中,而不会插入额外的,当 PHP 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ' 时将使用 ' 进行转义.

一开始是用验证码,别人就手动刷票，甚至网站花几百块买个验证码识别程序,限制ip地址,拔插网线就换了ip了,淘宝2块钱就可以买个ip自动变换器,自动重新拨号上网.

这是我之前写的一段form代码:

mysql_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集.

但是注意:该函数并不转义 % 和 _,另外,最好不要对整条sql语句使用该函数,而是只转义传入sql语句的字符串参数,否则会发生意想不到的结果.