制作网站网页设计/深圳最新疫情最新消息

   所谓sql注入，是由表单提交时，后台拼接sql语句造成的。如此，会给系统带来很大的破坏，甚至导致整个数据库被清掉，或删除。因此必须做好防注入操作。关于这个问题，成熟的方案有很多，现在总结如下：

一，从根源上解决问题，也就是在接受表单提交时，要特别注意sql拼接处理可能带来的影响，避免给黑客留下突破口。

二，使用转义，经常用到的函数有：mysql_real_escape_string（php5已经不用了）和

Addslasher，转义之后，会消除上传参数中一些恶意的特殊符号，如单双引号等等。PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可，没用过，有待验证。关于mysql_real_escape_string有这样的warning:Warning:
As of PHP 5.5.0 mysql_real_escape_string and the mysql extension are deprecated. Please use mysqli extension and mysqli::escape_string function instead 。

所以这里说一下mysql，mysqli和pdo的东西：

PHP-MySQL 是 PHP 操作 MySQL 资料库最原始的 Extension ，PHP-MySQLi 的 i 代表 Improvement ，提更了相对进阶的功能，就 Extension 而言，本身也增加了安全性。而 PDO (PHP Data Object) 则是提供了一个 Abstraction Layer 来操作资料库。

使用mysqli或者使用pdo。

三，限制引入的参数，就是把接收上来的数据和已知数据进行对比，看是否是合法的。

四，对引入参数进行编码

五，使用MySQL存储过程，没怎么用过，正在研究中.

php语句前加@来抑制错误信息。