PHP防SQL注入

PHP防SQL注入还在用addslashes和mysql_real_escape_string么?

看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_string也有黑客可以绕过的方法,如果你的系统仍在用上面三个方法,那么我的这篇博文就有了意义,以提醒所有后来者绕过这个坑.

用str_replace以及各种php字符替换函数来防注入已经不用我说了,这种“黑名单”式的防御已经被证明是经不起时间考验的.

大家不妨试试这种方法,可以有效的防止sql注入,如果大家有绕过这种方法的方法,可以告诉我,我谢谢了,会进一步改进完善!