php简单实现sql防注入的方法
发布:smiling 来源: PHP粉丝网 添加日期:2019-08-22 11:41:52 浏览: 评论:0
本文实例讲述了php简单实现sql防注入的方法。分享给大家供大家参考,具体如下:
这里没有太多的过滤,主要是针对php和mysql的组合。
一般性的防注入,只要使用php的 addslashes 函数就可以了。
以下是一段copy来的代码:
PHP代码:
- $_POST = sql_injection($_POST);
- $_GET = sql_injection($_GET);
- function sql_injection($content)
- {
- if (!get_magic_quotes_gpc()) {
- if (is_array($content)) {
- foreach ($content as $key=>$value) {
- $content[$key] = addslashes($value);
- }
- //phpfensi.com
- } else {
- addslashes($content);
- }
- }
- return $content;
- }
做系统的话,可以用下面的代码,也是copy来的。
PHP代码:
- function inject_check($sql_str) {
- return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤
- }
- function verify_id($id=null) {
- if (!$id) { exit('没有提交参数!'); } // 是否为空判断
- elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断
- elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断
- $id = intval($id); // 整型化
- return $id;
- }
- function str_check( $str ) {
- if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开
- $str = addslashes($str); // 进行过滤
- }
- $str = str_replace("_", "\_", $str); // 把 '_'过滤掉
- $str = str_replace("%", "\%", $str); // 把 '%'过滤掉
- return $str;
- }
- function post_check($post) {
- if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开
- $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
- }
- $post = str_replace("_", "\_", $post); // 把 '_'过滤掉
- $post = str_replace("%", "\%", $post); // 把 '%'过滤掉
- $post = nl2br($post); // 回车转换
- $post = htmlspecialchars($post); // html标记转换
- return $post;
- }
Tags: sql防注入
- 上一篇:PHP使用反射机制实现查找类和方法的所在位置
- 下一篇:php生成图片验证码的方法
相关文章
- ·php sql通用防注入系统(2014-08-25)
- ·php 过滤特殊字符及sql防注入代码(2014-08-25)
- ·php中addslashes函数与sql防注入(2021-04-26)
- ·php简单实现sql防注入的方法(2021-07-29)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)