mysql_real_escape_string()
所以得SQL语句如果有类似这样的写法:"select * from cdr where src =".$userId; 都要改成 $userId=mysql_real_escape_string($userId)
所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。
您可能感兴趣的文章:php中防止SQL注入的最佳解决方法php防止SQL注入详解及防范PHP简单实现防止SQL注入的方法浅析php过滤html字符串,防止SQL注入的方法php防止sql注入示例分析和几种常见攻击正则表达式探讨php中防止SQL注入最好的方法是什么PHP登录环节防止sql注入的方法浅析PHP+mysql防止SQL注入的方法小结php+mysqli预处理技术实现添加、修改及删除多条数据的方法php+mysqli使用预处理技术进行数据库查询的方法PHP mysqli扩展库 预处理技术的使用分析PHP防止sql注入小技巧之sql预处理原理与实现方法分析
SQL
方法
sql注入攻击
sql注入
xss
PHP