SQL注入攻击:php篇
1.用注释欺骗MySQL
注释号--导致SQL代码行的余下部分被忽略
SQL注入所利用的漏洞是没有验证表单域中可能出现的危险字符。“危险字符”就是任何有可能改变一个SQL查询实质的字符,如逗号、引号或--注释字符,甚至一段数据最后的空格也可能是有害的。
2.SQL注入可以通过适当的处理表单数据来避免。
trim()函数去除这个表单数据的前导或末尾空格(去除额外空格)
mysqli_real_escape_string(),它会将可能有危险的字符进行转义,使它不能有意义地影响查询的执行。
3 一种更好的INSERT手段
4 表单验证再聪明也不为过