discuz的php防止sql注入函数

最新推荐文章于 2023-07-21 12:14:00 发布
最新推荐文章于 2023-07-21 12:14:00 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: php安全
最近在做一个主题投票网站,客户懂一些程序方面的东西。有特别要求需要过滤一些字符防止sql注入。本来这方面就没有特别的研究过。呵呵,又发扬了一回拿来主义。把discuz论坛的sql防注入函数取了来! 
[php]  view plain copy
  1. $magic_quotes_gpc = get_magic_quotes_gpc();   
  2. @extract(daddslashes($_COOKIE));   
  3. @extract(daddslashes($_POST));   
  4. @extract(daddslashes($_GET));   
  5. if(!$magic_quotes_gpc) {   
  6. $_FILES = daddslashes($_FILES);   
  7. }   
  8. function daddslashes($string$force = 0) {   
  9. if(!$GLOBALS['magic_quotes_gpc'] || $force) {   
  10. if(is_array($string)) {   
  11. foreach($string as $key => $val) {   
  12. $string[$key] = daddslashes($val$force);   
  13. }   
  14. else {   
  15. $string = addslashes($string);   
  16. }   
  17. }   
  18. return $string;   
  19. }  

大家可以增强下面的代码加以保护服务器的安全,PHP防止SQL注入安全函数十分重要! 
[php]  view plain copy
  1. /*  
  2. 函数名称:inject_check()  
  3. 函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全  
  4. 参  数:$sql_str: 提交的变量  
  5. 返 回 值:返回检测结果,ture or false  
  6. */   
  7. function inject_check($sql_str) {   
  8. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile'$sql_str); // 进行过滤   
  9. }   
  10.   
  11. /*  
  12. 函数名称:verify_id()  
  13. 函数作用:校验提交的ID类值是否合法  
  14. 参  数:$id: 提交的ID值  
  15. 返 回 值:返回处理后的ID  
  16. */   
  17. function verify_id($id=null) {   
  18. if (!$id) { exit('没有提交参数!'); } // 是否为空判断   
  19. elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断   
  20. elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断   
  21. $id = intval($id); // 整型化   
  22.   
  23. return $id;   
  24. }   
  25.   
  26. /*  
  27. 函数名称:str_check()  
  28. 函数作用:对提交的字符串进行过滤  
  29. 参  数:$var: 要处理的字符串  
  30. 返 回 值:返回过滤后的字符串  
  31. */   
  32. function str_check( $str ) {   
  33. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开   
  34. $str = addslashes($str); // 进行过滤   
  35. }   
  36. $str = str_replace("_""\_"$str); // 把 '_'过滤掉   
  37. $str = str_replace("%""\%"$str); // 把 '%'过滤掉   
  38.   
  39. return $str;   
  40. }   
  41.   
  42. /*  
  43. 函数名称:post_check()  
  44. 函数作用:对提交的编辑内容进行处理  
  45. 参  数:$post: 要提交的内容  
  46. 返 回 值:$post: 返回过滤后的内容  
  47. */   
  48. function post_check($post) {   
  49. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开   
  50. $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤   
  51. }   
  52. $post = str_replace("_""\_"$post); // 把 '_'过滤掉   
  53. $post = str_replace("%""\%"$post); // 把 '%'过滤掉   
  54. $post = nl2br($post); // 回车转换   
  55. $post = htmlspecialchars($post); // html标记转换   
  56.   
  57. return $post;   
  58. }  
come_on_air
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入php代码
08-24
SQL注入php,通用防注入类
php防止sql注入
weixin_30260399的博客
03-30 303
发布时间:9个月前热度:816 ℃评论数:1 三个函数: addslashes($string):用反斜线引用字符串中的特殊字符' " \ $username=addslashes($username); mysql_escape_string($string):用反斜杠转义字符串中的特殊字符,用于mysql_query()查询。 $username=my...
php 防止注入函数,php 防止SQL注入函数
weixin_31107269的博客
04-14 1360
function inject_check($sql_str) {return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);// 该函数已经被弃用 相当于preg_match()}function verify_id($id=nu...
phpsql注入函数
wwppp987的博客
07-23 683
function inject_check($Sql_Str) {//自动过滤Sql的注入语句。 $check=preg_match('/select|insert|update|delete|\'|\\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i',$Sql_Str); if ($check) { echo '&l...
php 自带sql防注入函数,php 最简单sql防注入函数与方法_PHP教程
weixin_30802819的博客
03-24 108
mysql教程_real_escape_string — 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集。但是注意:该函数并不转义 % 和 _。另外,最好不要对整条sql语句使用该函数,而是只转义传入sql语句的字符串参数,否则会发生意想不到的结果。$item = “Zak’s and Derick’s Laptop”;$escaped_item = mysql_real_...
Discuz7.2版的faq.php SQL注入漏洞分析
10-25
这个函数用于在特殊字符前加上反斜杠(\),以防止SQL注入。然而,如果攻击者可以控制或预测addslashes()的转义行为,他们就可以构造出能够绕过转义的SQL注入语句。在漏洞的利用场景中,攻击者通过特定构造的gids参数...
PHP 小心urldecode引发的SQL注入漏洞
01-20
Ihipop 学校的 Discuz X1.5 论坛被黑,在那里吵了一个下午。... 粗略看了一下代码,这个 SQL 注入漏洞是 urldecode 函数造成的。在 PHP 手册中,urldecode 函数下面有一个警告: The superglobals $_GET and $_REQ
php中防注入函数addslashes() ,mysql_real_escape_string() 和mysql_escape_string() 的区别
寻找甘当科学家的女人/男人
01-21 3510
来源:http://www.akii.org/2009-08/php-in-the-addslashes-mysql_real_escape_string-and-mysql_escape_string-the-difference-between/这三个函数的功能各有不同,前两个如果没有加载mysql库是都用不上的,当然,现在有PDO的prepare然后setParam当然是很方便,mysq
discuzSQL注入
05-18
防止sql注入,使用的时候,在一个总的配置文件里用这段代码.
防止sql注入php函数,防止SQL注入PHP 函数
weixin_30539317的博客
03-19 158
SQL 注入或者 SQLi 常见的攻击网站的手段,使用下面的代码可以帮助你防止SQL注入function clean($input){if (is_array($input)){foreach ($input as $key => $val){$output[$key] = clean($val);// $output[$key] = $this->clean($val);}}else...
防止SQL注入函数(转)
KimYoo的专栏
03-05 2528
Function CheckStr(byVal ChkStr) 检查无效字符        Dim Str:Str=ChkStr        Str=Trim(Str)        If IsNull(Str) Then                CheckStr = ""                Exit Function         End If        Dim re
java判断是否能上网_Android 判断是否联网
weixin_39897687的博客
03-08 379
搜索热词下面是编程之家 jb51.cc 通过网络收集整理的代码片段。编程之家小编现在分享给大家,也给大家做个参考。下面的方法返回false表示网络不通// 检测网络public static boolean checkNetworkAvailable(Context context) {ConnectivityManager connectivity = (ConnectivityManager)...
php中的sql防注入
ocean2017的博客
03-17 1385
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
php防止sql注入的方法
猿男孩的博客
06-20 744
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
PHP防止 SQL 注入
weixin_50251467的博客
07-21 592
我们可以将预处理语句与 PDO 一起使用,以防止PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以防止 SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以防止PHP 中进行 SQL 注入。
PHP SQL防注入
谁还不是一块小饼干的博客
01-04 4382
参考资料: PHP防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事项 php SQL 防注入的一些经验 如何在PHP防止SQL注入PHP安全编程:防止SQL注入 addslashes与mysql_real_escape_string的区别 How can I prevent SQL injection in PHP? 什么是SQL...
韦东山imx6ullpro完全开发书册
最新发布
08-15
韦东山imx6ullpro完全开发书册
php discuzSQL注入_Discuz 7.2 /search.php SQL注入漏洞
05-24
PHP Discuz 的 SQL 注入漏洞是一种常见的网络安全威胁,可以导致网站被黑客攻击并被窃取敏感信息。...2. 使用参数化查询和防注入函数防止 SQL 注入攻击。 3. 及时更新 Discuz 程序,以保持程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值