mysql怎么防数据注入 mysql防止sql注入 3种方法总结

addslashes用途与php怎样防止mysql注入

防sql注入的一个简单方法就是使用框架，一般成熟框架中会集成各种安全措施。当然也可以自己处理，如果用户的输入能直接插入到SQL语句中，那么这个应用就易收到SQL注入的攻击。

为东城等地区用户提供了全套网页设计制作服务，及东城网站建设行业解决方案。主营业务为网站制作、成都网站建设、东城网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

字符串型数据(比如姓名、联系方式)用addslashes函数来过滤，数字类型数据用intval来过滤 比如你要提交的表单姓名为name，联系方式为tel，邮箱为mail，留言为msg。

你可以使用内置的addslashes函数，或者使用我下面自己封装的函数，把$_GET 或者 $_POST的值做处理。

如果是字符串类型：addslashes() 这个函数，转义单双引号；如果接收的参数属于整数型(id之类)：intval() 直接取出数字，丢弃后边的非数字字符；或者使用PDO预处理语句，绑定参数的方式防止SQL注入。

今天就通过PHP和MySQL数据库为例，分享一下我所了解的SQL注入攻击和一些简单的防范措施和一些如何避免SQL注入攻击的建议。

但是，大多数的在一个注入上下文中的多查询都是由PHP的mysql扩展负责管理的。

如何使用PDO查询Mysql来避免SQL注入风险

1、PDO参数绑定的原理是将命令与参数分两次发送到MySQL，MySQL就能识别参数与命令，从而避免SQL注入（在参数上构造命令）。mysql在新版本PHP中已经预废弃，使用的话会抛出错误，现在建议使用MySQLi或者MySQL_PDO。

2、setAttribute()那一行是强制性的，它告诉PDO禁用仿真预备义语句，使用真正的预备义语句。

3、pdo query方法有没有防止sql注入的功能 传统的mysql_connect 、mysql_query方法存在很多注入风险，而使用PDO预处理机制可以有效的防止SQL注入风险。

4、使用PDO防注入。这是最简单直接的一种方式，当然低版本的PHP一般不支持PDO方式去操作，那么就只能采用其它方式。采用escape函数过滤非法字符。

5、它打开后将自动把用户提交的sql语句的查询进行转换，把转为\，这对防止sql注入有重大作用。因此开启：magic_quotes_gpc=on；控制错误信息 关闭错误提示信息，将错误信息写到系统日志。

6、如果是字符串类型：addslashes() 这个函数，转义单双引号；如果接收的参数属于整数型(id之类)：intval() 直接取出数字，丢弃后边的非数字字符；或者使用PDO预处理语句，绑定参数的方式防止SQL注入。

php程序员面试题,mysql怎么防止注入

1、打开magic_quotes_gpc来防止SQL注入，magic_quotes_gpc= Off，这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，比如把 转为 \等，对于防止sql注射有重大作用。

2、防范SQL注入 - 使用mysql_real_escape_string()函数 在数据库操作的代码中用这个函数mysql_real_escape_string()可以将代码中特殊字符过滤掉，如引号等。

3、SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。