简单的 php 防注入代码

PHP防SQL注入技巧

最新推荐文章于 2021-04-10 22:12:04 发布

原创最新推荐文章于 2021-04-10 22:12:04 发布 · 826 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#php #function #string #merge #include #url

PHP相关专栏收录该内容

16 篇文章

订阅专栏

本文提供了两种有效的PHP代码实现方式来防止SQL注入攻击。一种是通过过滤特定非法字符并检查用户输入；另一种则是通过整型和字符串类型的过滤函数对用户提交的数据进行净化。

首先请把以下代码保存为safe.php放在网站根目录下，然后在每个php文件前加include("/safe.php");即可:
php防注入代码方法一：

<?php //要过滤的非法字符 $ArrFiltrate=array("‘",";","union"); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=""; //是否存在数组中的值 function FunStringExist($StrFiltrate,$ArrFiltrate) { foreach ($ArrFiltrate as $key=>$value) { if (eregi($value,$StrFiltrate)) { return true; } } return false; } //合并$_POST 和 $_GET if(function_exists(array_merge)) { $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); } else { foreach($HTTP_POST_VARS as $key=>$value) { $ArrPostAndGet[]=$value; } foreach($HTTP_GET_VARS as $key=>$value) { $ArrPostAndGet[]=$value; } } //验证开始 foreach($ArrPostAndGet as $key=>$value) { if (FunStringExist($value,$ArrFiltrate)) { echo "<mce:script language=/"javascript/"></mce:script>"; if (emptyempty($StrGoUrl)) { echo "<mce:script language=/"javascript/"></mce:script>"; } else { echo "<mce:script language=/"javascript/"></mce:script>"; } exit; } } ?>

php防注入代码方法二：

<?php /* 过滤所有GET过来变量 */ foreach ($_GET as $get_key=>$get_var) { if (is_numeric($get_var)) { $get[strtolower($get_key)] = get_int($get_var); } else { $get[strtolower($get_key)] = get_str($get_var); } } /* 过滤所有POST过来的变量 */ foreach ($_POST as $post_key=>$post_var) { if (is_numeric($post_var)) { $post[strtolower($post_key)] = get_int($post_var); } else { $post[strtolower($post_key)] = get_str($post_var); } } /* 过滤函数 */ //整型过滤函数 function get_int($number) { return intval($number); } //字符串型过滤函数 function get_str($string) { if (!get_magic_quotes_gpc()) { return addslashes($string); } return $string; } ?>