当前位置:首页 > PHP教程 > php类库 > 列表

简单实用的PHP防注入类实例

发布:smiling 来源: PHP粉丝网  添加日期:2021-05-02 21:39:23 浏览: 评论:0 

这篇文章主要介绍了简单实用的PHP防注入类实例,以两个简单的防注入类为例介绍了PHP防注入的原理与技巧,对网站安全建设来说非常具有实用价值,需要的朋友可以参考下

本文实例讲述了简单实用的PHP防注入类。分享给大家供大家参考。具体如下:

PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全.

PHP防注入类代码如下:

  1. <?php 
  2. /** 
  3.  * 参数处理类 
  4.  * @author JasonWei 
  5.  */ 
  6. class Params 
  7.     public $get = array(); 
  8.  
  9.     public $post = array(); 
  10.  
  11.     function __construct() 
  12.     { 
  13.  if (!emptyempty($_GET)) { 
  14.      foreach ($_GET as $key => $val) { 
  15.  if (is_numeric($val)) { 
  16.      $this->get[$key] = $this->getInt($val); 
  17.  } else { 
  18.      $this->get[$key] = $this->getStr($val); 
  19.  } 
  20.      } 
  21.  } 
  22.  if (!emptyempty($_POST)) { 
  23.      foreach ($_POST as $key => $val) { 
  24.  if (is_numeric($val)) { 
  25.      $this->post[$key] = $this->getInt($val); 
  26.  } else { 
  27.      $this->post[$key] = $this->getStr($val); 
  28.  } 
  29.      } 
  30.  } 
  31.     } 
  32.  
  33.     public function getInt($number
  34.     { 
  35.  return intval($number); 
  36.     } 
  37.  
  38.     public function getStr($string
  39.     { 
  40.  if (!get_magic_quotes_gpc()) { 
  41.      $string = addslashes($string); 
  42.  } 
  43.  return $string
  44.     } 
  45.  
  46.     public function checkInject($string
  47.     { 
  48.  return eregi('select|insert|update|delete|/*|*|../|./|union|into|load_file|outfile'$string); 
  49.     } 
  50.  
  51.     public function verifyId($id = null) 
  52.     { 
  53.  if (!$id || $this->checkInject($id) || !is_numeric($id)) { 
  54.      $id = false; 
  55.  } else { 
  56.      $id = intval($id); 
  57.  } 
  58.  return $id
  59.     } 
  60. ?> 

例子二,代码如下:

  1. <?php  
  2. /*************************   
  3. 说明:     
  4. 判断传递的变量中是否含有非法字符     
  5.     
  6. 如$_POST、$_GET     
  7. 功能:     
  8. 防注入     
  9. *************************/     
  10. //要过滤的非法字符      
  11. $ArrFiltrate=array("'","or","and","union","where");      
  12. //出错后要跳转的url,不填则默认前一页      
  13. $StrGoUrl="";      
  14. //是否存在数组中的值      
  15. function FunStringExist($StrFiltrate,$ArrFiltrate){      
  16. foreach ($ArrFiltrate as $key=>$value){      
  17. if (eregi($value,$StrFiltrate)){      
  18.   return true;      
  19. }      
  20. }      
  21. return false;      
  22. }      
  23. //合并$_POST 和 $_GET      
  24. if(function_exists(array_merge)){      
  25. $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);      
  26. }else{      
  27. foreach($HTTP_POST_VARS as $key=>$value){      
  28. $ArrPostAndGet[]=$value;      
  29. }      
  30. foreach($HTTP_GET_VARS as $key=>$value){      
  31. $ArrPostAndGet[]=$value;      
  32. }      
  33. }      
  34. //验证开始      
  35. foreach($ArrPostAndGet as $key=>$value){      
  36. if (FunStringExist($value,$ArrFiltrate)){      
  37. echo "<script language='javascript'>alert('传递的信息中不得包含{',or,and,union}等非法字符请您把他们换成{‘,OR,AND,UNION}');</script>";      
  38. if (emptyempty($StrGoUrl)){      
  39. echo "<scriptlanguage='javascript'>history.go(-1);</script>";      
  40. }else{      
  41. echo "<scriptlanguage='javascript'>window.location='".$StrGoUrl."';</script>";      
  42. }      
  43. exit;      
  44. }      
  45. }      
  46. /***************结束防止PHP注入*****************/     
  47. ?> 

希望本文所述对大家的PHP程序设计有所帮助。

Tags: PHP防注入类

分享到:

相关文章