PHP防范SQL注入是一個(gè)非常重要的安全手段。一個(gè)優(yōu)秀的PHP程序員除了要能順利的編寫代碼，還需要具備使程序處于安全環(huán)境下的能力。
說(shuō)到網(wǎng)站安全，就不得不提到SQL注入（SQL Injection），如果你用過(guò)ASP，那么對(duì)SQL注入一定有比較深的理解。PHP的安全性相對(duì)較高，這是因?yàn)镸YSQL4以下的版本不支持子語(yǔ)句，而且當(dāng)php.ini里的 magic_quotes_gpc 為On 時(shí)，提交的變量中所有的 ‘ (單引號(hào)), ” (雙引號(hào)), \ (反斜線) and 空字符會(huì)自動(dòng)轉(zhuǎn)為含有反斜線的轉(zhuǎn)義字符，給SQL注入帶來(lái)不少的麻煩。請(qǐng)看清楚：“麻煩”而已，這并不意味著PHP防范SQL注入。書中就講到了利用改變注入語(yǔ)句的編碼來(lái)繞過(guò)轉(zhuǎn)義的方法，比如將SQL語(yǔ)句轉(zhuǎn)成ASCII編碼（類似：char(100,58,92,108,111,99,97,108,104,111,115,116…)這樣的格式），或者轉(zhuǎn)成16進(jìn)制編碼，甚至還有其他形式的編碼，這樣以來(lái)，轉(zhuǎn)義過(guò)濾便被繞過(guò)去了。

那么，怎樣防范SQL注入呢？ 
a． 打開(kāi)magic_quotes_gpc或使用addslashes()函數(shù)
在新版本的PHP中，就算magic_quotes_gpc打開(kāi)了，再使用addslashes()函數(shù)，也不會(huì)有沖突，但是為了更好的實(shí)現(xiàn)版本兼容，建議在使用轉(zhuǎn)移函數(shù)前先檢測(cè)magic_quotes_gpc狀態(tài)，或者直接關(guān)掉，代碼如下：
// PHP 防范SQL注入的代碼 //
// 去除轉(zhuǎn)義字符   
function stripslashes_array($array) {   
　　if (is_array($array)) {   
　　　　foreach ($array as $k => $v) {   
　　　　　　$array[$k] = stripslashes_array($v);   
　　　　}   
　　} else if (is_string($array)) {   
　　　　$array = stripslashes($array);   
　　}   
　　return $array;   
}   
@set_magic_quotes_runtime(0);   
// 判斷 magic_quotes_gpc 狀態(tài)   
if (@get_magic_quotes_gpc()) {   
　　$_GET = stripslashes_array($_GET);   
　　$_POST = stripslashes_array($_POST);   
　　$_COOKIE = stripslashes_array($_COOKIE);   
} 
// PHP 防范SQL注入的代碼 //
去除magic_quotes_gpc的轉(zhuǎn)義之后再使用addslashes函數(shù)，代碼如下：

$keywords = addslashes($keywords);

$keywords = str_replace(“_”,”\_”,$keywords);//轉(zhuǎn)義掉”_”

$keywords = str_replace(“%”,”\%”,$keywords);//轉(zhuǎn)義掉”%”

后兩個(gè)str_replace替換轉(zhuǎn)義目的是防止黑客轉(zhuǎn)換SQL編碼進(jìn)行攻擊。 
——————————————————
b． 強(qiáng)制字符格式（類型）
在很多時(shí)候我們要用到類似xxx.php?id=xxx這樣的URL，一般來(lái)說(shuō)$id都是整型變量，為了防范攻擊者把$id篡改成攻擊語(yǔ)句，我們要盡量強(qiáng)制變量，代碼如下：
// PHP防范SQL注入的代碼 //

$id=intval($_GET[‘id’]);

當(dāng)然，還有其他的變量類型，如果有必要的話盡量強(qiáng)制一下格式。 
——————————————————
c． SQL語(yǔ)句中包含變量加引號(hào)
這一點(diǎn)兒很簡(jiǎn)單，但也容易養(yǎng)成習(xí)慣，先來(lái)看看這兩條SQL語(yǔ)句：

SELECT * FROM article WHERE articleid=’$id’ 
SELECT * FROM article WHERE articleid=$id

兩種寫法在各種程序中都很普遍，但安全性是不同的，第一句由于把變量$id放在一對(duì)單引號(hào)中，這樣使得我們所提交的變量都變成了字符串，即使包含了正確的SQL語(yǔ)句，也不會(huì)正常執(zhí)行。
而第二句不同，由于沒(méi)有把變量放進(jìn)單引號(hào)中，那我們所提交的一切，只要包含空格，那空格后的變量都會(huì)作為SQL語(yǔ)句執(zhí)行。因此，我們要養(yǎng)成給SQL語(yǔ)句中變量加引號(hào)的習(xí)慣。 
——————————————————
d. URL偽靜態(tài)化
URL偽靜態(tài)化也就是URL重寫技術(shù)，像Discuz！一樣，將所有的URL都rewrite成類似xxx-xxx-x.html格式，既有利于SEO，又達(dá)到了一定的安全性，也不失為一個(gè)好辦法。但要想實(shí)現(xiàn)PHP防范SQL注入，前提是你得有一定的“正則”基礎(chǔ)。
——————————————————
此外，PHP所有打印的語(yǔ)句如echo，print等，在打印前都要使用htmlentities() 進(jìn)行過(guò)濾，這樣可以防止Xss。
注意中文要寫出htmlentities($name, ENT_NOQUOTES, GB2312)

mysql_real_escape_string() 。

所以SQL語(yǔ)句如果有類似這樣的寫法：“select * from cdr where src =”.$userId，

都要改成$userId=mysql_real_escape_string($userId) 。
以上，就是PHP防止SQL注入和XSS攻擊的方法及源碼。