php怎么过滤sql语句

⑴ php 关于thinkphp的防sql注入跟过滤问题

防止注入
opensns
对于WEB应用来说，SQL注入攻击无疑是首要防范的安全问题，系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制，例如：
$User = M("User"); // 实例化User对象
$User->find($_GET["id"]);
即便用户输入了一些恶意的id参数，系统也会强制转换成整型，避免恶意注入。这是因为，系统会对数据进行强制的数据类型检测，并且对数据来源进行数据格式转换。而且，对于字符串类型的数据，ThinkPHP都会进行escape_string处理(real_escape_string,mysql_escape_string)。
通常的安全隐患在于你的查询条件使用了字符串参数，然后其中一些变量又依赖由客户端的用户输入，要有效的防止SQL注入问题，我们建议：
查询条件尽量使用数组方式，这是更为安全的方式；
如果不得已必须使用字符串查询条件，使用预处理机制（3.1版本新增特性）；
开启数据字段类型验证，可以对数值数据类型做强制转换；（3.1版本开始已经强制进行字段类型验证了）
使用自动验证和自动完成机制进行针对应用的自定义过滤；
字段类型检查、自动验证和自动完成机制我们在相关部分已经有详细的描述。
查询条件预处理
where方法使用字符串条件的时候，支持预处理（安全过滤），并支持两种方式传入预处理参数，例如：
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同样支持预处理机制，例如：
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。

⑵ php sql 过滤重复

只需要在给sql语句中加个DISTINCT , sql 语句distinct的用法为SELECT DISTINCT 列名称 FROM 表名称 ，即 $sql="select distinct CD_Singer from ".tname('dj')."";

⑶ php如何避免在循环中使用sql语句

1、循环内拼接sql语句，循环外执行
例如：
//假设这里的$users是一个很大的数组，我们要循环取出其中的值foreach($users as $user){//这部分的sql是我从项目中随便摘抄出来的。主要就是实现拼接sql语句$sql .= " ('{$order_sn}', '{$this->user_id}', '{$deliver_fee}', 0, "
. " '', '', '', "
. " '{$add_time}','{$order_status}', '{$order_amount}', '{$remark}', "
. " '{$pickup_code}', '{$self_pickup}', '{$collect_order_sn}', '{$key}', {$reservation_time}),";
}
//循环中拼接好sql之后，我们在循环外执行$sql = substr($sql, 0, -1);
DB::statement($sql);1234567891011

2、where条件换为where in()
比如我们的where()条件中要使用大规模的数组，那么在语句应该是：
foreach($arr as $v){
DB::table('')->where('id',$v->id);
}123

此时我们可以转变一下：
//先取出条件数组$arr,在直接执行whereIn即可DB::table('')->whereIn('id',$arr);12

注意：如果数据量很大，比如几十万条数据，那么whereIn也会成为代码的瓶颈，这个函数适用于数据量不是很大的情况。

⑷ PHP如何去执行一个SQL语句

<?php
$db_server="localhost";
$db_user="root";
$db_pwd="password";
$db_name="test";

$sql="select*fromuserwhereusername='admin'";
$conn=mysql_pconnect($db_server,$db_user,$db_pwd);
$my_db=mysql_select_db($db_name,$conn);
$result=mysql_query($sql,$conn);
$userInfo=mysql_fetch_array($result);
mysql_close($conn);

echo"帐户：".$userInfo["username"]."";
echo"密码：".$userInfo["password"]."";
echo"年龄：".$userInfo["userage"]."";
echo"等级：".$userInfo["usergrade"]."";
?>

⑸ [php]防sql语句注入函数，怎么使用

在你的代码里

$sql = ....

if (!inject_chk($sql))
{
//执行...
}
else
{
echo "有注入危险";
}

⑹ php怎样过滤非法字符防止sql注入

htmlspecialchars($_POST['字段'])，用这个函数就可以将一些特殊字符进行过滤转义。你可以去看看这个函数的说明。

⑺ php怎么获取上一条执行的sql语句

首先明确一点，PHP和MySQL原生是不支持获取上一条查询语句的。各大框架都是封装函数来实现的。这里以CI框架来说明，其他框架原理都大同小异。

1. 设置成员变量，用于存储执行过的sql语句。

   

2. 思路具体就是如此，具体逻辑根据需求可以自由调整。
   

⑻ 求php防止被sql 注入攻击的过滤用户输入内容的函数

functionclean($v){
//判断magic_quotes_gpc是否为打开
if(!get_magic_quotes_gpc()){
//进行magic_quotes_gpc没有打开的情况对提交数据的过滤
$v=addslashes($v);
}
//把'_'过滤掉回
$v=str_replace("_","\_",$v);
//把'%'过滤掉
$v=str_replace("%","\%",$v);
//把'*'过滤掉
$v=str_replace("*","*",$v);
//回车转换答
$v=nl2br($v);
//html标记转换
$v=htmlspecialchars($v);
return$v;
}

如果需要，还可以屏蔽一下危险字符，例如insert， update， delete等

//将update去掉
$v=str_replace("update","",$v);

最后，在拼装sql语句时，用户输入的东西，全括在单引号内

⑼ PHP中如何防止SQL注入

我把问题和赞同最多的答题翻译了下来。提问：如果用户的输入能直接插入到SQL语句中，那么这个应用就易收到SQL注入的攻击，举个例子：$unsafe_variable = $_POST['user_input']; mysqli_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')");用户可以输入诸如 ： value'); DROP TABLE table;-- ,SQL语句就变成这样了:INSERT INTO table (column) VALUES('value'); DROP TABLE table;--')(译者注：这样做的结果就是把table表给删掉了) 我们可以做什么去阻止这种情况呢？回答：使用prepared statements（预处理语句）和参数化的查询。这些SQL语句被发送到数据库服务器，它的参数全都会被单独解析。使用这种方式，攻击者想注入恶意的SQL是不可能的。要实现这个主要有两种方式：1. 使用 PDO：$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name'); $stmt->execute(array(':name' => $name)); foreach ($stmt as $row) { // do something with $row }2. 使用 Mysqli：$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?'); $stmt->bind_param('s', $name); $stmt->execute(); $result = $stmt->get_result(); while ($row = $result->fetch_assoc()) { // do something with $row }PDO需要注意的是使用PDO去访问MySQL数据库时，真正的prepared statements默认情况下是不使用的。为了解决这个问题，你需要禁用模拟的prepared statements。下面是使用PDO创建一个连接的例子：$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); $dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); $dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);上面的例子中，错误报告模式并不是强制和必须的，但建议你还是添加它。通过这种方式，脚本在出问题的时候不会被一个致命错误终止，而是抛出PDO Exceptions，这就给了开发者机会去捕获这个错误。然而第一行的 setAttribute() 是强制性的，它使得PDO禁用模拟的prepared statements并使用真正的prepared statements。这可以确保这些语句和值在被发送到MySQL服务器之前不会被PHP解析（这使得攻击者没有注入恶意SQL的机会）。尽管你可以使用可选的构造函数参数去设置 charset ，但重点需要注意的是小于5.3.6的PHP版本，DSN(Data Source Name)是默认忽略 charset 参数的。说明当你传一个SQL语句做预处理时会发生什么？它被数据库服务器解析和编译了。通过指定参数（通过之前例子中的 ? 或者像 :name 这样的命名式参数）你告诉数据库引擎你是想过滤它。接着当你调用 execute() 函数时，prepared statements会和你刚才指定的参数的值结合。在此重要的是，参数的值是和编译过的语句结合，而非一个SQL字符串。SQL注入就是当创建被发送到数据库的SQL语句时，通过欺骗的手段让脚本去引入恶意的字符串。因此当你使用单独的参数发送真实正确的SQL时，你就限制了被某些不是你真实意图的事情而搞挂掉的风险。使用prepared statements 传递的任何参数都会被当做字符串对待（不过数据库引擎可能会做一些优化，这些参数最终也可能变成numbers）（译者注：意思就是把参数当做一个字符串而不会去做额外的行为）。比如在上面的例子中，如果 $name 变量的值是 'Sarah'; DELETE * FROM employees ，产生的结果是会去搜索"'Sarah'; DELETE * FROM employees"这一整个字符串，最终的结果你也就不会面对的是一张空表了。使用prepared statements的另一个好处是，如果你在同一session中再次执行相同的语句，也就不会被再次解析和编译，这样你就获得一些速度上的提升。