以下是OMG小编为大家收集整理的文章，希望对大家有所帮助。

　　SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。其实就是就是提交精心构造的数据库语句，使其反馈一些有用的数据。说白了就是去欺骗数据库，假如只有web服务器的话，是没法进行SQL注入的。

　　网上常用的注入手法有两种，一种是猜测，让数据库暴出用户名、密码等信息;另一种直接绕过认证，取得权限。相对应，要想修复此类漏洞，就必须禁止特殊数据的提交或将特殊提交的数据修改。

　　下面是不同脚本语言下的防注入过滤代码，其实思想是一致的。

　　1、 PHP防注入过滤代码

　　php 代码复制内容到剪贴板

　　/*************************

　　说明： 判断传递的变量中是否含有非法字符 如$_POST、$_GET

　　功能： 防注入

　　使用方法： 将下列代码保存为ak,php,调用方式 在数据提交页加上include("ak.php");

　　**************************/

　　function dowith_sql($str)

　　//实现将特征码两边加.

　　{

　　$refuse_str="exec|and|or|select|update|from|where|order|by|*|delete||insert|into|values|create|table|

　　database|set|char|asc|cast|declare|
本文地址：http://www.xspic.com/diannao/luyouqijichu/2453440.htm