- macos+apache+php+phpmyadmin 的整合过程梳理
- echo的部分用法
- php中 __autoload函数 自动加载类文件机制
- 最省空间的计数器
- WAP与PHP程序设计之基础篇
- BBS(php & mysql)完整版(一)
- 关于PHP Notice: A non well formed numeric value encountered, 你知道多少
- 深入理解PHP内核 第三章 第三节 预定义变量
- 微信支付开发(11) Native支付
- 用PHP连接Oracle数据库
- 深入理解PHP内核 第二章 第三节 词法分析和语法分析
- .net转php laraval框架学习系列(一) 环境搭建
- PHP的学习--可变变量
- 一个可以删除字符串中HTML标记的PHP函数
- Apache虚拟主机配置(多个域名访问多个目录)(转)
- PHP+TEXT留言本(一)
- PHP计算两个字符的相似程度similar_text
- 在 PHP 中使用随机数的三个步骤
- QM项目开发文档整理
- PHP脚本的10个技巧(3)
- BBS(php & mysql)完整版(八)
- PHP原始的数据库操作
- CI框架源码阅读笔记3 全局函数Common.php
- PHP和JAVA的XML-RPC中文问题解决办法
- 24 PHP视频教程 字符串处理函数(二)
- HTTP中的URL长度限制(资料整理)
- 学习php中的正则表达式,PHP正则表达式基础
- PHP学习笔记5-类的继承/方法重写
- 一个改进的UBB类
- Ubuntu14.04上使用Nginx部署Laravel
PHP搜索中的sql注入
作者:佚名 php网站开发编辑:admin 更新时间:2022-07-23
php搜索中的sql注入
-----------------------------------------------------------------------------------------
防止查询的sql攻击 => 对关键词进行过滤(代码局部)
$k = $_REQUEST['k'];
$k = addslashes($k); //转义:单引号,双引号,反斜线,NULL
$k = str_replace('%', '\%', $k);
$k = str_replace('_', '\_', $k);
$sql = "select * from users where name like '%$k%'";
if(!empty($k)){
$res = MySQL_query($sql, $con) or die(mysql_error());
if($row = mysql_fetch_assoc($res)){
foreach($row as $k=>$v){
echo $row[$k].':'.$row[$v].'<br />';
}
}
}else{
echo '******';
}
Link: http://www.cnblogs.com/farwish/p/3803811.html
@黑眼诗人 <www.farwish.com>
- 上一篇文章: 安装64位php开发环境
- 下一篇文章: Laravel