以下是OMG小編為大家收集整理的文章，希望對大家有所幫助。

　　SQL注入是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。其實就是就是提交精心構造的數據庫語句，使其反饋一些有用的數據。說白了就是去欺騙數據庫，假如只有web服務器的話，是沒法進行SQL注入的。

　　網上常用的注入手法有兩種，一種是猜測，讓數據庫暴出用戶名、密碼等信息;另一種直接繞過認證，取得權限。相對應，要想修復此類漏洞，就必須禁止特殊數據的提交或將特殊提交的數據修改。

　　下面是不同腳本語言下的防注入過濾代碼，其實思想是一致的。

　　1、 PHP防注入過濾代碼

　　php 代碼復制內容到剪貼板

　　/*************************

　　說明： 判斷傳遞的變量中是否含有非法字符 如$_POST、$_GET

　　功能： 防注入

　　使用方法： 將下列代碼保存為ak,php,調用方式 在數據提交頁加上include("ak.php");

　　**************************/

　　function dowith_sql($str)

　　//實現將特征碼兩邊加.

　　{

　　$refuse_str="exec|and|or|select|update|from|where|order|by|*|delete||insert|into|values|create|table|

　　database|set|char|asc|cast|declare|
本文地址：http://www.xspic.com/diannao/luyouqijichu/2453440.htm