可能重复:
停止PHP中SQL注入的最佳方法
终极清洁/安全功能
我的网站被sql注入攻击了,现在我需要改进它。我正在PHP escape()中创建一个函数,它返回字符串的转义版本。我不是黑客,所以请帮助我改进我的逃生功能。这是当前版本:
function escape($string){
$string = stripslashes($string);
$string = mysql_real_escape_string($string);
$string = strip_tags($string);
$string = str_replace('%','',$string);
$string = str_replace('_','',$string);
return $string;
}
我的问题是:这是可破解的吗?谢谢
此函数与安全完全无关
它几乎不能保护你免受某些类型的XSS注射。仅此而已。