以前讲述的很多关于sql防注入的代码,但是还是得从我们的服务器脚本开始了,下面就来讲述一个下php中防注入的一些常见方法大家可参考.

最常用见的可能就是:

首先将magic_quotes_gpc设置为On,display_errors设置为Off,如果id型,我们利用intval()将其转换成整数类型,如代码:$id=intval($id);

好了下面我来介绍php提交数据过滤的基本原则 

1）提交变量进数据库时，我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了,其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择.

2）在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠,magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用,其实,早在以前注入很疯狂时,这个参数就很流行了.

3）在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数.

4）对于跨站，strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换,比如尖括号"<"就将转化为 "<"这样无害的字符。

代码如下:

5）对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想这样也就无懈可击了.

2、PHP简单的数据过滤

1）入库:trim($str),addslashes($str)

2）出库:stripslashes($str)

3）显示:htmlspecialchars(nl2br($str))

分享一个实例,具体的代码如下:

1. <?php 
2.    //security.php 
3. /** 
4.  * @author zhengwei 
5.  * @copyright 2007 
6.  */ 
7. /*  
8. 函数名称：inject_check()  
9. 函数作用：检测提交的值是不是含有SQL注射的字符，防止注射，保护服务器安全  
10. 参　　数：$sql_str: 提交的变量  
11. 返 回 值：返回检测结果，ture or false  
12. 函数作者：heiyeluren  
13. */  
14. function inject_check($sql_str) {   
15.   return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str);    // 进行过滤   
16. } //开源代码phpfensi.com 
17.  
18. /*  
19. 函数名称：verify_id()  
20. 函数作用：校验提交的ID类值是否合法  
21. 参　　数：$id: 提交的ID值  
22. 返 回 值：返回处理后的ID  
23. 函数作者：heiyeluren  
24. */  
25. function verify_id($id=null) {   
26.   if (!$id) { exit('没有提交参数！'); }    // 是否为空判断   
27.   elseif (inject_check($id)) { exit('提交的参数非法！'); }    // 注射判断   
28.   elseif (!is_numeric($id)) { exit('提交的参数非法！'); }    // 数字判断   
29.   $id = intval($id);    // 整型化   
30.  
31.   return  $id;   
32. }   
33.  
34. /*  
35. 函数名称：str_check()  
36. 函数作用：对提交的字符串进行过滤  
37. 参　　数：$var: 要处理的字符串  
38. 返 回 值：返回过滤后的字符串  
39. 函数作者：heiyeluren  
40. */  
41. function str_check( $str ) {   
42.   if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否打开   
43.     $str = addslashes($str);    // 进行过滤   
44.   }   
45.   $str = str_replace("_", "_", $str);    // 把 '_'过滤掉   
46.   $str = str_replace("%", "%", $str);    // 把 '%'过滤掉   
47.  
48.   return $str;    
49. }   
50.  
51. /*  
52. 函数名称：post_check()  
53. 函数作用：对提交的编辑内容进行处理  
54. 参　　数：$post: 要提交的内容  
55. 返 回 值：$post: 返回过滤后的内容  
56. 函数作者：heiyeluren  
57. */  
58. function post_check($post) {   
59.   if (!get_magic_quotes_gpc()) {    // 判断magic_quotes_gpc是否为打开   
60.     $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤   
61.   }   
62.   $post = str_replace("_", "_", $post);    // 把 '_'过滤掉   
63.   $post = str_replace("%", "%", $post);    // 把 '%'过滤掉   
64.   $post = nl2br($post);    // 回车转换   
65.   $post = htmlspecialchars($post);    // html标记转换   
66.  
67.   return $post;   
68. }  
69.  
70.  
71. foreach ($_POST as $post_key=>$post_var) 
72. { 
73.  if (is_numeric($post_var)) { 
74.   $post[strtolower($post_key)] = get_int($post_var); 
75.  } else { 
76.   $post[strtolower($post_key)] = get_str($post_var); 
77.  } 
78. } 
79.  
80. /* 过滤函数 */ 
81. //整型过滤函数 
82. function get_int($number) 
83. { 
84.     return intval($number); 
85. } 
86. //字符串型过滤函数 
87. function get_str($string) 
88. { 
89.     if (!get_magic_quotes_gpc()) { 
90.  return addslashes($string); 
91.     } 
92.     return $string; 
93. } 
94.  
95. ?> 

在有些cms中我会看到如下代码:

1. foreach($HTTP_POST_VARS as $key=>$value){  
2. $ArrPostAndGet[]=$value;  
3. }  
4. foreach($HTTP_GET_VARS as $key=>$value){  
5. $ArrPostAndGet[]=$value;  
6. } 

这个的代码然后在所有页面都加载这个函数,这样过滤个人发现好像上传文件时会有问题.

Tags: PHP防注入 PHP安全代码

分享到：