PHP防SQL注入還在用addslashes和mysql_real_escape_string么?

看了很多PHP網站在防SQL注入上還在使用addslashes和str_replace,百度一下"PHP防注入"也同樣在使用他們,實踐發現就連mysql_real_escape_string也有黑客可以繞過的方法,如果你的系統仍在用上面三個方法,那么我的這篇博文就有了意義,以提醒所有后來者繞過這個坑.

用str_replace以及各種php字符替換函數來防注入已經不用我說了,這種“黑名單”式的防御已經被證明是經不起時間考驗的.

大家不妨試試這種方法,可以有效的防止sql注入,如果大家有繞過這種方法的方法,可以告訴我,我謝謝了,會進一步改進完善!