我们的网站常常会担心被SQL注入攻击,SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,所以一定要小心。你可以打开php.ini,里面有一个设置:

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,比如把 ‘ 转为 \’ 等,相当于php中的addslashes()函数的处理。这对防止sql注射有重大作用,所以很多服务器都设置了:

这又给我们带来一个新的问题,如果我们用户提交的是富文本编辑器的HTML内容,又或者在极端的条件下url中带有序列化的内容(带有双引号)。当我们使用$_GET和$_POST的时候会拿到一串被加上反斜杠的字符串,那么有可能将原始的内容破环之后写入数据库,或者反序列化的工作无法完成。那么我们可以使用stripslashes(string)函数将字符串的反斜杠给去掉:

这个方法仅仅是改变一个字符串,还有一个方法是递归处理数组的:

上面这段代码可以放在框架的入口程序里,可以递归处理$_GET和$_POST数组的每个元素,不管这数组有多深。

 

转自Tonitech: http://www.tonitech.com/2088.html 转载请注明原作者和原网址

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*

code