sql注入的防御和挖掘

首先我们可以在PHP.ini当中将display_errror关闭，以防止报错型的注入。

1.字符型防护

• is_number
• 正则来判断是否是数字。
• ctype_digit()
• intval()
• str_length() 

2.字符型防护

• mysql_real_escape_string
• str_length

3.高效预防sql注入

• PDO

3.如何挖掘SQL注入漏洞

 

• 搜索变量相关：$_GET $_POST $_REQUEST
• 搜索数据库语句相关：mysql_query...

【注：如果有更好的预防方法可以与我交流探讨】