Php函数可防止SQL注入。
我正在开发一个Wordpress项目,要求用户插入一些他们需要的数据。 不过,我已经在数据库中创建了供我使用的新表,现在,我需要确保安全并防止SQL注入。
为此,我创建了以下变量。
function sql_escape($var){
if(is_string($var)) {
$result = strip_tags(addslashes(str_replace(array('SELECT', 'select', 'DELETE', 'delete', 'INSERT', 'insert', 'JOIN', 'join', 'CREATE', 'create', 'UPDATE', 'update', 'FROM', 'from', 'WHERE', 'where', '*', '=', '+', '-', '<', '>'), '...', $var)));
return $result;
}
if( is_numeric($var) || is_float($var) ){
$result = $var;
return $result;
}}
您认为这足够了吗? 谢谢大家的支持。
答案 0 :(得分:0)
为了清理SQL查询,您应该使用准备好的语句
在wordpress开发环境中,您有以下内容:
$wpdb->prepare(
"SELECT something FROM table WHERE foo = %s and status = %d",
$name, // an unescaped string (function will do the sanitization for you)
$status // an untrusted integer (function will do the sanitization for you)
)