1、防范SQL注入 使用mysql_real_escape_string函數(shù) 在數(shù)據(jù)庫操作的代碼中用這個函數(shù)mysql_real_escape_string可以將代碼中特殊字符過濾掉，如引號等如下例q = quotSELECT `id` FROM `users` WHERE `username`= #39；防sql注入 先對提交數(shù)據(jù)中的危險字符過濾或編碼比如名稱或帖子標題，一定不能是html，直接進行htmlencode ，最后輸出到頁面上，也不會變成html，而是顯示原始字符對需要使用html的內容部分，過濾script，style等標簽，或者。

2、注入式攻擊的類型 可能存在許多不同類型的攻擊動機，但是乍看上去，似乎存在更多的類型這是非常真實的如果惡意用戶發(fā)現(xiàn)了一個能夠執(zhí)行多個查詢的辦法的話本文后面，我們會對此作詳細討論如 果你的腳本正在執(zhí)行一個SELECT；偽造referer參數(shù)進行了sql注入，執(zhí)行了遠程代碼再一個防止sql注入的方法就是開啟PHP的魔術配置，開啟安全配置模式，將safe_mode開啟on以及關閉全局變量模式，register_globals參數(shù)設置為on，magic_quotes_gpc參數(shù)開啟，防止sql；由于SQL注入攻擊針對的是應用開發(fā)過程中的編程不嚴密，因而對于絕大多數(shù)防火墻來說，這種攻擊是“合法”的問題的解決只有依賴于完善編程專門針對SQL注入攻擊的工具較少，Wpoison對于用asp，php進行的開發(fā)有一定幫助；1函數(shù)的構建 function inject_check$sql_str return eregi#39selectinsertupdatedelete\#39*\*\\\\\unionintoload_fileoutfile#39， $sql_str 進行過濾 function verify_id$id。

3、I#39getid#39I#39postid#392Thinkphp50版本由于50版本將單字母方法取消了，取而代之的是一些語義更明確的方法名，I方法對應的是input方法所有使用input方法來獲取postget等參數(shù)例如獲取id參數(shù)input#39；用戶可以提交一段數(shù)據(jù)庫查詢代碼一般是在瀏覽器地址欄進行，通過正常的；quot#39quot？ PDO參數(shù)綁定的原理是將命令與參數(shù)分兩次發(fā)送到MySQL，MySQL就能識別參數(shù)與命令，從而避免SQL注入在參數(shù)上構造命令mysql在新版本PHP中已經(jīng)預廢棄，使用的話會拋出錯誤，現(xiàn)在建議使用MySQLi或者MySQL_PDO；php中addslashes函數(shù)與sql防注入具體分析如下addslashes可會自動給單引號，雙引號增加\，這樣我們就可以安全的把數(shù)據(jù)存入數(shù)據(jù)庫中而不黑客利用，參數(shù)#39az#39界定所有大小寫字母均被轉義，代碼如下復制代碼 代碼如下echo。

4、PHP通用防注入安全代碼 說明判斷傳遞的變量中是否含有非法字符 如$_POST$_GET 功能防注入 要過濾的非法字符 ArrFiltrate=array”‘”，，”union”出錯后要跳轉的url，不填則默認前一頁 StrGoUrl=；首先是服務器的安全設置，這里有phpmysql的安全設置和linux主機的安全設置為了防止phpmysql注入，首先將magic_quotes_gpc設置為on，display_errors設置為Off如果是id類型，我們用intval將其轉換成整數(shù)類型，比如代碼id=。

5、防止SQL注入 opensns 對于WEB應用來說，SQL注入攻擊無疑是首要防范的安全問題，系統(tǒng)底層對于數(shù)據(jù)安全方面本身進行了很多的處理和相應的防范機制，例如User = MquotUserquot 實例化User對象 Userfind$_GETquotidquot；當然，我這里并不想討論其他語言是如何避免sql注入的，網(wǎng)上關于PHP防注入的各種方法都有，Python的方法其實類似，這里我就舉例來說說起因漏洞產生的原因最常見的就是字符串拼接了，當然，sql注入并不只是拼接一種情況，還有像。

6、但SQL注入是多方面的，防止的方法也有很多種1地址欄禁止特殊字符防SQL注入 把特殊字符如andor#39quot都禁止提交就可以防止注入了2php過濾html字符串，防止SQL注入 批量過濾post，get敏感數(shù)據(jù) _GET =。