php中如何防止sql注入，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

防止Sql注入的方法有很多，這里要說的其實就是漏洞演練平臺Dvwa里的一種方式

直接看high級別的就可以了

$id = $_GET['id']; 
$id = stripslashes($id); 
$id = mysql_real_escape_string($id); 
if (is_numeric($id)){
$getid = "SELECT first_name,last_name FROM users WHERE user_id='$id'";
$result = mysql_query($getid) or die('
'.mysql_error().'
');
$num = mysql_numrows($result);

可見它的處理方式是首先通過 stripslashes 函數刪除變量中的反斜杠 \，
然后再使用函數mysql_real_escape_string 轉義特殊字符就行了。
所以當我們編寫類似代碼的時候

$getid="SELECT first_name,last_name FROM users WHERE user_id='$id'";

我們最簡單的方法是

直接將變量$id 進行stripslashes 和 mysql_real_escape_string 處理。

注意： 這里并不是說這樣就安全了， 這只是其中一種方式我可沒說這就安全了。 更多的還要依據實際情況進行處理。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注創新互聯行業資訊頻道，感謝您對創新互聯網站建設公司，的支持。