php防止sql注入簡単分析


本論文の実例はphp防止sql注入の簡単な方法を分析した。皆さんの参考にしてください。具体的には以下の通りです
ここでは簡単な方法だけを話します。
Sql注入を防ぐ方法はいろいろありますが、ここで言うべきのは、ホール演習プラットフォームDvwaの中の一つの方法です。
直接にハイグレードを見ればいいです。

$id = $_GET['id']; 
$id = stripslashes($id); 
$id = mysql_real_escape_string($id); 
if (is_numeric($id)){
$getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'";
$result = mysql_query($getid) or die('<pre>'.mysql_error().'</pre>');
$num = mysql_numrows($result);
このような処理はまず、ストリップスラッシュ関数によって変数のバックスラッシュを削除します。
それから関数mysqlを使います。リアル.エスケープストリングスの意味を変える特殊文字でいいです。
だから、私たちがコードを作る時には

$getid="SELECT first_name,last_name FROM users WHERE user_id='$id'";
一番簡単な方法は?
直接変数$idをstripslashesとmysql_にします。リアル.エスケープstring処理
注意:ここでは安全というわけではありません。ただ一つの方法です。これは安全とは言いませんでした。もっと多いのは実情によって処理します。
本論文で述べたように、皆さんのphpプログラムの設計に役に立ちます。