PHP防SQL注入

hardy136

浏览: 11643 次
性别:
来自: 南京

最近访客更多访客>>

hhc8698

353390229

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

PHP应用

php sql注入

一般性的防注入，只要使用php的 addslashes 函数就可以了。

$_POST = sql_injection($_POST);   
$_GET = sql_injection($_GET);   

function sql_injection($content) {   
   if (!get_magic_quotes_gpc()) {   
      if (is_array($content)) {   
        foreach ($content as $key=>$value) {   
           $content[$key] = addslashes($value);   
        }   
      } else {   
        addslashes($content);   
      }   
   }   
   return $content;   
}

/**    
 * 函数名称：inject_check()   
 * 函数作用：检测提交的值是不是含有SQL注射的字符，防止注射，保护服务器安全   
 * 参　　数：$sql_str: 提交的变量    
 * 返 回 值：返回检测结果，ture or false    
 */     
function inject_check($sql_str) {       
  return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);    // 进行过滤      
}

 /**
  * 函数名称：verify_id()    
  * 函数作用：校验提交的ID类值是否合法   
  * 参　　数：$id: 提交的ID值    
  * 返 回 值：返回处理后的ID   
  */     
 function verify_id($id=null) {       
   if (!$id) { exit('没有提交参数！'); }    // 是否为空判断       
   elseif (inject_check($id)) { exit('提交的参数非法！'); }    // 注射判断       
   elseif (!is_numeric($id)) { exit('提交的参数非法！'); }    // 数字判断       
   $id = intval($id);    // 整型化             
   return  $id;       
 }

/**
 * 函数名称：str_check()    
 * 函数作用：对提交的字符串进行过滤    
 * 参　　数：$var: 要处理的字符串    
 * 返 回 值：返回过滤后的字符串   
 */     
function str_check( $str ) {       
   if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否打开      
     $str = addslashes($str);    // 进行过滤       
   }    
   $str = str_replace("_", "\_", $str);    // 把 '_'过滤掉       
   $str = str_replace("%", "\%", $str);    // 把 '%'过滤掉      
   return $str;        
 }

/**    
 * 函数名称：post_check()    
 * 函数作用：对提交的编辑内容进行处理    
 * 参　　数：$post: 要提交的内容    
 * 返 回 值：$post: 返回过滤后的内容   
 */     
 function post_check($post) {       
   if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否为打开       
     $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤       
   }    
   $post = str_replace("_", "\_", $post);    // 把 '_'过滤掉      
   $post = str_replace("%", "\%", $post);    // 把 '%'过滤掉       
   $post = nl2br($post);    // 回车转换       
  $post = htmlspecialchars($post);    // html标记转换       
   return $post;       
 }

分享到：

一些高效的Linux命令行操作 | xunsearch (基于 xapian 和 scws开源中文 ...

2013-06-14 09:41
浏览 940
评论(1)
分类:互联网
查看更多

1 楼月影无痕 2013-06-17

这种做法，并不能完全阻止ＳＱＬ注入，你的文章存在误导读者之问题

在php 5+时代，强烈建议使用pdo参数化查询，可从根本上杜绝ＳＱＬ注入．

你的做法，相当于开启了magic_quotes_gcp, 这个功能php5.4中已经去掉了，php 5.3中将是一个警告提示

你的代码在php 5.3中会产生一个警告提示，　而在php5.4中无法运行．

php 5.3与php 5.2性能差异巨大，该是时间考虑php 5.3了．

官方给出的 5.2和5.3性能对比：

http://www.php.net/manual/zh/features.gc.performance-considerations.php

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

PHP防SQL注入

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

PHP防SQL注入

评论

发表评论

相关推荐

linux上用PHP读取WORD文档

这个是php_memcache-5.2版本的，找了好久才找到，希望对大家有帮助，下载请查看附件。

适用于 PHP5.4的php_memcache.dll

适用于 PHP5.3的php_memcache.dll

PHP函数之curl

最近访客更多访客>>