使用PDO防止註射。
這是最簡單直接的方法。當然,較低版本的PHP通常不支持PDO,因此只能以其他方式操作。
使用轉義函數過濾非法字符。
Escape可以對斜杠等非法字符進行轉義,並防止sql註入。這種方法簡單粗暴,但不推薦使用。
手寫您自己的過濾功能,手寫壹個php sql非法參數過濾功能相對簡單,但您的功能需要非常健壯,這樣仍然有可能被非法黑客攻擊;妳的編碼水平直接決定了妳的函數的健壯性。
事實上,各種框架都支持非法字符過濾。最簡單的壹個,比如ThinkPHP,可以直接防止註入。
編寫壹個PHP擴展來選擇性地過濾傳入的參數。開發PHP擴展是PHP高級程序員的基本技能。把妳需要的函數打包在PHP擴展中,像過濾黑字壹樣檢查它們是非常方便的。通常,當您編寫自己的幀路由器轉發時使用它。如果使用擴展實現幀路由器轉發,可以順便在PHP擴展中添加參數過濾並通過c實現。
事實上,目前的反註射技術已經成熟。壹個網站應該關心的不是反註入,而是如何處理大規模和高並發,或者關於其他各種漏洞。例如,世界上仍有80%的網站使用redis,您可以通過redis漏洞直接訪問機器。壹般來說,直接給妳壹個采礦機器人。