php防sql注入等函数

最新推荐文章于 2023-09-22 17:02:42 发布
最新推荐文章于 2023-09-22 17:02:42 发布
阅读量2.1k 收藏
点赞数
分类专栏: php 文章标签: sql 注入

discuz论坛的sql防注入函数

 
$magic_quotes_gpc = get_magic_quotes_gpc(); 
@extract(daddslashes($_COOKIE)); 
@extract(daddslashes($_POST)); 
@extract(daddslashes($_GET)); 
if(!$magic_quotes_gpc) { 
$_FILES = daddslashes($_FILES); 
} 


function daddslashes($string, $force = 0) { 
if(!$GLOBALS['magic_quotes_gpc'] || $force) { 
if(is_array($string)) { 
foreach($string as $key => $val) { 
$string[$key] = daddslashes($val, $force); 
} 
} else { 
$string = addslashes($string); 
} 
} 
return $string; 
}

大家可以增强下面的代码加以保护服务器的安全,PHP防止SQL注入安全函数十分重要!  

 
/* 
函数名称:inject_check() 
函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全 
参  数:$sql_str: 提交的变量 
返 回 值:返回检测结果,ture or false 
*/ 
function inject_check($sql_str) { 
return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤 
} 

/* 
函数名称:verify_id() 
函数作用:校验提交的ID类值是否合法 
参  数:$id: 提交的ID值 
返 回 值:返回处理后的ID 
*/ 
function verify_id($id=null) { 
if (!$id) { exit('没有提交参数!'); } // 是否为空判断 
elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断 
elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断 
$id = intval($id); // 整型化 

return $id; 
} 

/* 
函数名称:str_check() 
函数作用:对提交的字符串进行过滤 
参  数:$var: 要处理的字符串 
返 回 值:返回过滤后的字符串 
*/ 
function str_check( $str ) { 
if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开 
$str = addslashes($str); // 进行过滤 
} 
$str = str_replace("_", "\_", $str); // 把 '_'过滤掉 
$str = str_replace("%", "\%", $str); // 把 '%'过滤掉 

return $str; 
} 

/* 
函数名称:post_check() 
函数作用:对提交的编辑内容进行处理 
参  数:$post: 要提交的内容 
返 回 值:$post: 返回过滤后的内容 
*/ 
function post_check($post) { 
if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开 
$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
} 
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉 
$post = str_replace("%", "\%", $post); // 把 '%'过滤掉 
$post = nl2br($post); // 回车转换 
$post = htmlspecialchars($post); // html标记转换 

return $post; 
}



收水了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php中addslashes函数sql注入
10-25
主要介绍了php中addslashes函数sql注入,实例讲述了采用addslashes函数对于sql注入的用处,对于PHP安全程序设计来说具有不错的参考借鉴价值,需要的朋友可以参考下
discuz的php防止sql注入函数
12-17
把discuz论坛的sql注入函数取了来! 复制代码 代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$...
php中的sql注入
ocean2017的博客
03-17 1263
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 2009
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。
防止sql注入 php_PHP-防止SQL注入
cunchi8090的博客
07-19 275
防止sql注入 php SQL injection vulnerabilities have been described as one of the most serious threats for Web applications. Web applications that are vulnerable to SQL injection may all...
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1253
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2272
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
sql注入与转义的php函数代码
01-20
sql注入:  正常情况下:  delete.php?id=3; $sql = ‘delete from news where id = ‘.$_GET[‘id’];  恶意情况:  delete.php?id=3 or 1; $sql = ‘delete from news where id = 3 or 1’; ——-如此执行后,...
PHP简单预sql注入的方法
12-18
本文实例讲述了PHP简单预sql注入的方法。分享给大家供大家参考,具体如下: 出现sql注入一般都是因为语法不规范不严谨造成的,问题出现在sql语句上,而起决定性的是quote(’)。如下: $sql = "delete from ...
php防止sql注入函数
weixin_34111819的博客
05-07 109
$magic_quotes_gpc= get_magic_quotes_gpc();@extract(daddslashes($_COOKIE));@extract(daddslashes($_POST));@extract(daddslashes($_GET));if(!$magic_quotes_gpc){$_FILES = daddslashes($_FILES);}f...
SQL注入php代码
08-24
SQL注入php,通用注入
php什么函数可以防止注入,php什么函数可以防止SQL注入
weixin_39800971的博客
03-19 289
不要相信用户的在登陆中输入的内容,需要对用户的输入进行处理SQL注入:(推荐学习:PHP编程从入门到精通)' or 1=1 #防止SQL注入的几个函数:addslashes($string):用反斜线引用字符串中的特殊字符' " \$username=addslashes($username);mysql_escape_string($string):用反斜杠转义字符串中的特殊字符,用于mysql...
php如何sql注入,如何在PHP防止SQL注入
weixin_30636449的博客
03-09 299
本篇文章将给大家介绍关于PHP中的SQL注入以及使用PHP-MySQLi和PHP-PDO驱动程序防止SQL注入的方法。下面我们来看具体的内容。简单的SQL注入示例例如,A有一个银行网站。已为银行客户提供了一个网络界面,以查看其帐号和余额。您的银行网站使用http://example.com/get_account_details.php?account_id=102等网址从数据库中提取详细信息。例...
PHP的查询处理怎么防止SQL注入
qq_29701691的博客
03-14 303
对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。PDO 的特性在于驱动程序不支持预处理的时候,PDO 将模拟处理,此时的预处理-参数化查询过程在 PDO 的模拟器中完成。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。所以,PDO 模拟器能否正确的转义输入参数,是拦截 SQL 注入的关键。Laravel 的底层实现。
php防止SQL注入函数
weixin_34114823的博客
12-03 79
1.函数的构建 /*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全参 数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str){ return eregi('select|insert|upd...
防止sql注入php函数,防止SQL注入PHP 函数
weixin_30539317的博客
03-19 145
SQL 注入或者 SQLi 常见的攻击网站的手段,使用下面的代码可以帮助你防止SQL注入function clean($input){if (is_array($input)){foreach ($input as $key => $val){$output[$key] = clean($val);// $output[$key] = $this->clean($val);}}else...
java判断是否能上网_Android 判断是否联网
weixin_39897687的博客
03-08 366
搜索热词下面是编程之家 jb51.cc 通过网络收集整理的代码片段。编程之家小编现在分享给大家,也给大家做个参考。下面的方法返回false表示网络不通// 检测网络public static boolean checkNetworkAvailable(Context context) {ConnectivityManager connectivity = (ConnectivityManager)...
PHP中如何防止SQL注入
热门推荐
zHHHe的专栏
08-03 1万+
这是StackOverFlow上一个投票非常多的提问 How to prevent SQL injection in PHP?   我把问题和赞同最多的答题翻译了下来。本人翻译水平很渣,请读者见谅。 提问:如果用户的输入能直接插入到SQL语句中,那么这个应用就易收到SQL注入的攻击,举个例子: $unsafe_variable = $_POST['user_input']; mysqli_q
360 phpsql注入代码
最新发布
02-05
为了防止SQL注入攻击,我们可以采取以下措施来保护我们的PHP代码。 1. 使用预处理语句:使用预处理语句可以防止SQL注入攻击。可以使用PDO(PHP Data Objects)或者MySQLi(MySQL Improved)扩展来执行预处理语句。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值