如何防止php中的sql注入但仍然显示“和'?我正在使用的那一刻
$input = strip_tags($input);
$input = htmlentities($input);
但是输出是 \" 和 \'。无论如何我可以在没有斜杠的情况下显示 " 和 ' 但将它们保留在那里这样我就不会被注入?
【问题讨论】:
标签: php sql security sql-injection html-entities
您展示的方法不是防止SQL注入的正确方法!
始终使用您正在使用的数据库提供的清理方法,例如mysql_real_escape_string() 如果您使用标准 mysql 库。消毒方法不会改变最终结果中的任何字符。
或者,在 PDO 或 mysqli 中使用准备好的语句 - 如果您正确绑定传入的数据,它们会自动输入卫生。
【讨论】:
首先,该代码没有去除反斜杠,当然它们仍然存在。使用 stripslashes() 去掉反斜杠,但不要这样做。 如果您在数据库中看到这些斜线,并且您已经使用了 mysql_real_escape_string,那么您很可能已经打开了 magic_quotes_gpc,而您只是添加了另一组斜线。先删除那些自动添加的,然后再应用 mysql_real_escape_string,它们不会以这种方式显示,但仍会存在并在查询数据库时安全使用。
【讨论】:
粗心大意没有灵丹妙药。
这些斜线本身也不能阻止 SQL 注入。它们的存在表明另一个问题,magic_quotes。魔术引号是 PHP2 中的一项便利功能,从未打算用作安全功能。 (在 1997 年左右,当数据库不支持多字节字符集时,它们是安全的)。
无论如何,禁用magic_quotes。使用手动转义 (mysql_real_escape_string) 或更好但更方便的 PDO 准备语句。
如果你想偷懒,仍然禁用magic_quotes。但是使用 $_GET = array_map("mysql_real_escape_string", $_GET); 并在脚本开始时和建立数据库连接后对 $_POST 和 $_REQUEST 执行相同的操作。
然后应用htmlentities(stripslashes($input)) 写入输出以消除多余的反斜杠。
【讨论】:
php.ini 中的设置。如果您按照此处评论中的php_value 提示php.net/manual/de/security.magicquotes.disabling.php,您可以通过 .htaccess 更改它
php.ini