就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
如何防止:
1,php.ini中,设置magic_quotes_gpc = on,这个默认是off,如果它打开后将自动把用户提交对sql的查询进行转换。如果magic_quotes_gpc=Off,则使用addslashes()函数
2,htmlspecialchars(),将特殊字符转换为html,返回的是转换后的结果。详细参见(https://www.php.net/htmlspecialchars/)
参数1,string 类型,要转换的字符 参数2,转义方式 ,ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES 都没设置, 默认就是 ENT_COMPAT
3,自定义方法
str_replace()函数,参数1是查找的字符,参数2是替换成的字符,参数3是原始字符串
nl2br()函数,在字符串中的每个新行(\n)之前插入 HTML 换行符(<br> 或 <br />)。
原文:https://www.cnblogs.com/jdbeyond/p/11527709.html