php mysql 轉義

PHP MySQL 轉義

在 PHP 和 MySQL 開發中，由于用戶輸入的數據往往包含特殊字符，如果直接拼接到 SQL 語句中，會導致 SQL 注入漏洞。為了解決這個問題，我們需要對數據進行轉義。

PHP 的轉義函數是mysqli_real_escape_string()，它會轉義 SQL 中的特殊字符，如單引號、雙引號、反斜杠。下面是一個例子：

0) {
// code to handle login
} else {
echo "Invalid username or password";
}
mysqli_close($conn);
?>

在上面的例子中，用戶輸入的用戶名包含惡意代碼，但是經過轉義后，SQL 查詢語句就不會受到影響，從而避免了 SQL 注入攻擊。

除了 SQL 注入，還有一種著名的安全問題是 XSS 攻擊。攻擊者會把惡意代碼插入到網頁中，當用戶瀏覽網頁時，就會觸發這些惡意代碼。

為了避免 XSS 攻擊，我們需要對用戶輸入的字符串進行 HTML 轉義。PHP 中的htmlspecialchars()函數可以把特殊字符轉換成 HTML 實體，比如把< 替換成 <，把 >替換成 >，以此類推。下面是一個例子：

<?php 
$name = 'John Doe <script>alert("Gotcha!")</script>';
$name = htmlspecialchars($name, ENT_QUOTES, 'UTF-8');
echo $name;
?>

在上面的例子中，$name 的值包含了 script 標簽和惡意代碼，但是經過轉義后，就變成了不會觸發 XSS 攻擊的普通文本。

在 PHP 和 MySQL 開發中，對用戶輸入的數據進行轉義是非常重要的安全措施。通過使用 mysqli_real_escape_string() 和 htmlspecialchars() 這些函數，可以有效地避免 SQL 注入和 XSS 攻擊，提高應用程序的安全性。