一般在php代码中添加防止sql注入的功能,主要是对表单提交过来的值做相应的处理,然后才可以把数据更新到数据库中。
以下函数实现各种值的转换,代码如下:
复制代码 代码示例:
<?php
/**
* php表单字符转义
* 防止sql注入
* edit www.jb200.com
*/
function quotes($content)
{
//如果magic_quotes_gpc=Off,那么就开始处理
if (!get_magic_quotes_gpc()) {
//判断$content是否为数组
if (is_array($content)) {
//如果$content是数组,那么就处理它的每一个单无
foreach ($content as $key=>$value) {
$content[$key] = addslashes($value);
}
} else {
//如果$content不是数组,那么就仅处理一次
addslashes($content);
}
} else {
//如果magic_quotes_gpc=On,那么就不处理
}
//返回$content
return $content;
?>
注意:
显示时要用 stripslashes ()去掉反斜杠
stripslashes()了,它能把addslashes()处理时自动加上去的(反斜杠)去掉。
就是这些了,一个简单的php函数,实现表单提交内容的转义,防止sql注入的功能。