PHP的几个防SQL注入函数

最新推荐文章于 2022-10-20 09:06:02 发布
最新推荐文章于 2022-10-20 09:06:02 发布
阅读量825 收藏 1
点赞数
分类专栏: MySQL PHP 安全 文章标签: sql php string function insert delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/black_ox/article/details/7641851
版权
PHP 同时被 3 个专栏收录
77 篇文章 0 订阅
订阅专栏
MySQL
22 篇文章 0 订阅
订阅专栏
安全
12 篇文章 0 订阅
订阅专栏 
/*==============================================================================================*/

/**
 * discuz!防注入的函数
 */
$magic_quotes_gpc = get_magic_quotes_gpc(); 
@extract(daddslashes($_COOKIE)); 
@extract(daddslashes($_POST)); 
@extract(daddslashes($_GET)); 
if(!$magic_quotes_gpc) { 
	$_FILES = daddslashes($_FILES); 
} 

function daddslashes($string, $force = 0) { 
	if(!$GLOBALS['magic_quotes_gpc'] || $force) { 
		if(is_array($string)) { 
			foreach($string as $key => $val) { 
				$string[$key] = daddslashes($val, $force); 
			} 
		} else { 
			$string = addslashes($string); 
		} 
	} 
	return $string; 
} 

/*==============================================================================================*/


/**
 * 函数名称:inject_check() 
 * 函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全 
 * 参  数:$sql_str: 提交的变量 
 * 返   回  值:返回检测结果,ture or false 
 */
function inject_check($sql_str) { 
	return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤 
} 


/** 
 * 函数名称:verify_id() 
 * 函数作用:校验提交的ID类值是否合法 
 * 参  数:$id: 提交的ID值 
 * 返 回 值:返回处理后的ID 
 */ 
function verify_id($id=null) { 
	if(!$id) { 	// 是否为空判断 
		exit('没有提交参数!'); 
	} elseif(inject_check($id)) { 	 // 注射判断 
		exit('提交的参数非法!');
	} elseif(!is_numeric($id)) { 	// 数字判断 
		exit('提交的参数非法!'); 
	} 
	$id = intval($id); // 整型化 
	
	return $id; 
} 


/** 
 * 函数名称:str_check() 
 * 函数作用:对提交的字符串进行过滤 
 * 参  数:$var: 要处理的字符串 
 * 返   回  值:返回过滤后的字符串 
 */ 
function str_check( $str ) { 
	if(!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开 
		$str = addslashes($str); // 进行过滤 
	} 
	$str = str_replace("_", "\_", $str); // 把 '_'过滤掉 
	$str = str_replace("%", "\%", $str); // 把 '%'过滤掉 
	
	return $str; 
} 


/**
 * 函数名称:post_check() 
 * 函数作用:对提交的编辑内容进行处理 
 * 参  数:$post: 要提交的内容 
 * 返 回 值:$post: 返回过滤后的内容 
 */ 
function post_check($post) { 
	if(!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开 
		$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
	} 
	$post = str_replace("_", "\_", $post); // 把 '_'过滤掉 
	$post = str_replace("%", "\%", $post); // 把 '%'过滤掉 
	$post = nl2br($post); // 回车转换 
	$post = htmlspecialchars($post); // html标记转换 
	
	return $post; 
}

black_OX
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
整理php注入和XSS攻击通用过滤
12-19
主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则表达式 4. strip_tags、...
php中的sql注入
ocean2017的博客
03-17 1272
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
PHPSQL注入的方法
tongluren381的博客
10-20 3625
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1256
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
phpsql注入
weixin_30260399的博客
03-30 294
发布时间:9个月前热度:816 ℃评论数:1 三个函数: addslashes($string):用反斜线引用字符串中的特殊字符' " \ $username=addslashes($username); mysql_escape_string($string):用反斜杠转义字符串中的特殊字符,用于mysql_query()查询。 $username=my...
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2281
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
sqlilabs,里边赠送包含了,sqlilabs过关手册-注入天书,联系sql注入的绝佳靶场
06-28
介绍几个函数:  (1)version():查看数据库版本  (2)user():查看当前用户  (3)database():查看使用的数据库  (4) limit :limit子句来分批获取所有数据  (5)group_concat():一次性获取...
sqlilabs过关手册注入天书,过关sqlliabs的绝佳手册
06-28
介绍几个函数:  (1)version():查看数据库版本  (2)user():查看当前用户  (3)database():查看使用的数据库  (4) limit :limit子句来分批获取所有数据  (5)group_concat():一次性获取...
PHP和MySQL Web开发第4版pdf以及源码
10-13
2.10.1 使用普通文件的几个问题 2.10.2 RDBMS是如何解决这些问题的 2.11 进一步学习 2.12 下一章 第3章 使用数组 3.1 什么是数组 3.2 数字索引数组 3.2.1 数字索引数组的初始化 3.2.2 访问数组的内容 ...
php漏洞大全
03-09
PHP网页的安全性问题  针对PHP的网站主要存在下面几种攻击方式:  1.命令注入(Command Injection)  2.eval注入(Eval Injection)  3.... 4.... 5.SQL注入攻击(SQL injection) ... 几个重要的php.ini选项
PHP实现增删改查以及SQL注入
07-12
1、PHPSQLite的增删改查;2、php+SQLite网站的安全和友好错误提示;相应的博客地址http://blog.csdn.net/pfe_nova/article/details/37728775
比较好用的PHP注入漏洞过滤函数代码
12-18
复制代码 代码如下: <?PHP //PHP整站注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST ); $_COOKIE = sec ( $_COOKIE ); $_FILES = sec ( $_FILES ); } $_SERVER = sec ( $_SERVER ); function sec(&$array) { //如果是数组,遍历数组,递归调用 if (is_array (
php自带的几个sql注入函数
bai615_2011的专栏
03-26 1054
SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。   为了SQL注入攻击,PHP自带一个功能可以对输入的字符串进行处理,可以在较底层对输入进行安全上的初步处理,也即Magic Quotes。(php.ini magic
discuz的phpsql注入函数
web开发
08-31 172
代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslash...
php注入函数addslashes() ,mysql_real_escape_string() 和mysql_escape_string() 的区别
寻找甘当科学家的女人/男人
01-21 3501
来源:http://www.akii.org/2009-08/php-in-the-addslashes-mysql_real_escape_string-and-mysql_escape_string-the-difference-between/这三个函数的功能各有不同,前两个如果没有加载mysql库是都用不上的,当然,现在有PDO的prepare然后setParam当然是很方便,mysq
php 止注入函数,php SQL注入函数
weixin_31107269的博客
04-14 1305
function inject_check($sql_str) {return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);// 该函数已经被弃用 相当于preg_match()}function verify_id($id=nu...
php操作mysqlsql注入(合集)
zhouyuqi1的博客
08-31 1万+
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $unsafe_variable = $_POST['user_input'];  mysqli_query("INSERT INTO...
php读取二进制流
热门推荐
老鹰之歌的学习笔记
07-22 1万+
php数据转换为二进制数据 string pack ( string $format [, mixed $args [, mixed $...]] ) 将二进制数据转换为php数据 array unpack ( string $format, string $data ) $format: a – NUL-padded string a – NUL- 字符
Ubuntu 14.04 LTS下安装 LNMP环境
老鹰之歌的学习笔记
07-28 1万+
最近在 Ubuntu 14.04 LTS 安装 LNMP 一键安装包的时候出现了问题,PHP 5 服务没有启动,只好使用 Ubuntu 官方源进行安装: Nginx (读音 “engine x”)免费、开源、高效的 HTTP 服务。Nginx 是以稳定著称,功能丰富,结构简单,低资源消耗。本教程将演示如何在ubuntu 14.04 服务器中安装 nginx、PHP5(php-fpm)、M
PHP 彻底封杀 sql注入
最新发布
03-23
为了彻底封杀SQL注入攻击,你可以采取以下几个措施: 1. 使用预处理语句:预处理语句是一种将SQL查询与参数分离的技术,可以有效SQL注入攻击。在PHP中,可以使用PDO(PHP Data Objects)或者mysqli扩展来实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值