看了很多PHP网站在防SQL注入上还在利用addslashes和str_replace,百度一下\"大众PHP防注入\公众也同样在利用他们,实践创造就连mysql_real_escape_string也有黑客可以绕过的办法,如果你的系统仍在用上面三个方法,那么我的这篇博文就有了意义,以提醒所有后来者绕过这个坑。
用str_replace以及各种php字符更换函数来防注入已经不用我说了,这种“黑名单”式的防御已经被证明是经不起韶光磨练的。
大家不妨试试这种方法,可以有效的防止sql注入,如果大家有绕过这种方法的办法,可以见告我,我感激了,会进一步改进完善!