PHP防SQL注入還在用addslashes和mysql_real_escape_string么?

看了很多PHP網(wǎng)站在防SQL注入上還在使用addslashes和str_replace,百度一下"PHP防注入"也同樣在使用他們,實踐發(fā)現(xiàn)就連mysql_real_escape_string也有黑客可以繞過的方法,如果你的系統(tǒng)仍在用上面三個方法,那么我的這篇博文就有了意義,以提醒所有后來者繞過這個坑.

用str_replace以及各種php字符替換函數(shù)來防注入已經(jīng)不用我說了,這種“黑名單”式的防御已經(jīng)被證明是經(jīng)不起時間考驗的.

大家不妨試試這種方法,可以有效的防止sql注入,如果大家有繞過這種方法的方法,可以告訴我,我謝謝了,會進(jìn)一步改進(jìn)完善!