php防止SQL注入详解及防范（输入过滤，输出转义）

转载自 【http://www.jb51.net/article/43087.htm】

摘要：

（1）magic_quotes_gpc选项打开，在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理

（2）防止对数字值的SQL注入，如用intval()等函数进行处理

（3）mysql_real_escape_string( string）    addslashes(string)

一个是没有对输入的数据进行过滤（过滤输入），还有一个是没有对发送到数据库的数据进行转义（转义输出）。这两个重要的步骤缺一不可，需要同时加以特别关注以减少程序错误。

对于攻击者来说，进行SQL注入攻击需要思考和试验，对数据库方案进行有根有据的推理非常有必要（当然假设攻击者看不到你的源程序和数据库方案），考虑以下简单的登录表单：