我正在制作一个系统,我需要防止 SQL 注入。我正在使用 PHP 和 SQL Server 2008 R2。基本上我想知道的是我是否可以使用:
mysql_real_escape_string
或者是否有针对 SQL Server 的特定版本。任何反馈表示赞赏。
【问题讨论】:
mysql_real_escape_string 是与 MySql 而非 MSSQL 一起使用的函数
标签: php sql-server
我建议开始使用 PDO。这样你就可以使用参数化查询,它会为你处理几乎所有事情,包括 SQL 注入,而且它支持非常大的 RDBMS,包括 MSSQL。
这里有一些主题可以帮助您入门。
http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/
【讨论】:
我为我的项目构建了一个类,也许它可以帮助你
<?php
class clean
{
public static function stripJS($input)
{
return preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', "", $input);
}
public static function email($input)
{
return clean::stripJS(filter_var($input, FILTER_SANITIZE_EMAIL));
}
public static function noTags($input)
{
return strip_tags(clean::stripJs($input));
}
public static function dbIN($input)
{
return mysql_real_escape_string(self::stripJS($input));
}
public static function dbOUT($input)
{
return stripslashes($input);
}
}
$input = clean::dbIN($input);
?>
【讨论】:
你不能使用mysql特有的转义函数。
使用在bound parameters 中交易的东西。
【讨论】: