输入值/表单提交参数过滤有效防止sql注入的方法

最新推荐文章于 2024-03-07 08:15:00 发布
最新推荐文章于 2024-03-07 08:15:00 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 资料 mysql 文章标签: 防注入 sql注入 表单
资料 同时被 2 个专栏收录
46 篇文章 1 订阅
订阅专栏
mysql
15 篇文章 0 订阅
订阅专栏 
/**
* 过滤sql与php文件操作的关键字
* @param string $string
* @return string
* @author zyb <zyb_icanplay@163.com>
*/
function filter_keyword( $string ) {
    $keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
    $arr = explode( '|', $keyword );
    $result = str_ireplace( $arr, '', $string );
    return $result;
}

/**
* 检查输入的数字是否合法,合法返回对应id,否则返回false
* @param integer $id
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
function check_id( $id ) {
    $result = false;
    if ( $id !== '' && !is_null( $id ) ) {
    $var = filter_keyword( $id ); // 过滤sql与php文件操作的关键字
    if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
    $result = intval( $var );
    }
    }
    return $result;
}

/**
* 检查输入的字符是否合法,合法返回对应id,否则返回false
* @param string $string
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
function check_str( $string ) {
    $result = false;
    $var = filter_keyword( $string ); // 过滤sql与php文件操作的关键字
    if ( !empty( $var ) ) {
    if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开
    $var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
    }
    //$var = str_replace( "_", "\_", $var ); // 把 '_'过滤掉
    $var = str_replace( "%", "\%", $var ); // 把 '%'过滤掉
    $var = nl2br( $var ); // 回车转换
    $var = htmlspecialchars( $var ); // html标记转换
    $result = $var;
    }
    return $result;
}
每天都进步一点点
关注
专栏目录
JS代码防止SQL注入方法(超简单)
10-22
本文主要介绍了如何使用JavaScript代码来防止SQL注入,这是为了保证Web应用的安全性,防止恶意用户通过输入特定的SQL语句来破坏数据库。文章从两个方面进行了说明,包括URL地址注入输入文本框注入。 首先,...
input 防止 sql 注入
桂如的博客
08-07 4406
html &amp;lt;input oninput=&quot;preSql(this)&quot; type=&quot;text&quot; name=&quot;search&quot;/&amp;gt; js preSql = function (obj){ var dom = $(obj); var re= /select|update|delete|exec|count|join|union|
vue过滤注入问题
disuiniang7601的博客
03-02 239
注意: 在全局定义了,局部不需要再导入,否则报错:有定义但没用 过滤器可以用在两个地方:双花括号插和v-bind表达式(后者从 2.1.0+ 开始支持) <!-- 在双花括号中 --> {{ message | capitalize }} <!-- 在 `v-bind` 中 --> <div v-bind:id="rawI...
输入框的特殊字串进行过滤防止SQL注入
ccyyss的专栏
08-20 1294
以前不用这种方法过滤字符串,在网上看到这种方法,好像还行,收藏一下///   /// 对输入框的特殊字串进行过滤防止SQL注入  ///   /// 要被过滤的字符串  /// 过滤后的字符串  public static string SqlInsertEncode(string strFromText)  {  if (!System.String.IsNullOrEmpty(strFromText) && strFromText != "")  {  strFromText = strFromTex
防止SQL注入-字符串过滤
kang1011的博客
11-13 2985
防止SQL注入-字符串过滤法 例如 SELECT * FROM user_table WHERE username= ‘’ or 1 = 1 – —and password=’’ 危害 通过SQL语句,实现无帐号登录,甚至篡改数据库。 方案一:通常预编译处理。setParem sql注入只对sql语句的准备(编译)过程有破坏作用 而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理, 而不再对sql语句进行解析,准备,因此也就避免了sql注入问题. 方案二:字符
JSP使用过滤防止SQL注入的简单实现
01-08
所谓SQL注入,就是通过把SQL命令插入到Web表单提交输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力...
jquery过滤特殊字符’,sql注入的实现方法
11-22
在本文中,我们将深入探讨如何使用jQuery来过滤特殊字符,以防止SQL注入攻击。SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。以下是一个实际的jQuery实现...
通用的PHP注入漏洞攻击的过滤函数代码
x163326的专栏
10-22 2109
转自:http://www.q3060.com/list3/list117/17015.html //PHP整站注入程序,需要在公共文件中require_once本文件  //判断magic_quotes_gpc状态  if (@get_magic_quotes_gpc ()) {  $_GET = sec ( $_GET );  $_POST = sec ( $_POST ); 
如何防止SQL注入
weixin_45515454的博客
09-17 239
如何防止SQL注入
过滤防止重复提交
pinehacker的专栏
08-23 776
java过滤器代码 [code="java"] import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; im...
防止表单重复提交,自定义重复提交过滤
Lenjor 的博客
04-27 911
上产环境中推荐解决方案:前端提交重 + 后端自定义重复提交过滤器。
获取表单防止注入 子程序
aaa117659928的专栏
09-17 352
&lt;body&gt; &lt;% czkh = Saferequest("czkh",0) czme = Saferequest("czme",0) if czkh = "" or czme = "" then response.write "&lt;script&gt;alert('请填写内容');&lt;/script&gt;" respons
php对表单提交的字符串过滤处理
weixin_43947156的博客
04-15 454
[php] //过滤参数 function addslashes_deep(KaTeX parse error: Expected '}', got 'EOF' at end of input: … if (empty(value)){ return KaTeX parse error: Expected 'EOF', got '}' at position 12: value; ...
php应对sql注入数据库处理
最新发布
aicsswo的博客
03-07 788
在PHP中防止SQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。
防止SQL注入注意点】
Faint35799的博客
11-22 3540
防止SQL注入要点: 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。 2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。 5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装 6.sql注入的检测方法一般采取辅助软件或
如何避免SQL注入
木易三水良
01-27 1097
SQL注入原理不做解释了,大家都知道 危害嘛: -- 本来我只想获取id=2的数据 SELECT id,NAME FROM area WHERE id = -- 正常的参数 2 -- 后面是sql注入追加的参数 or 1 = 1 UNION SELECT -- 前面有几列数据,你后面联表查询也必须有相同数量列的数据才可以执行成功 1,-- 数据库版本 version() UNION SELECT 1,-- 数据库 DATABASE () UNION SELECT 1, --
Vue_输入过滤数据
友人C君的博客
01-12 1946
&lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;Vue框架学习_输入过滤后台数据&lt;/title&gt; &lt;script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.j
.Net防止SQL注入参数验证与关键词检测
"防止SQL注入方法主要集中在服务端,包括参数验证、参数化查询以及SQL关键词检测。" 在.NET开发中,SQL注入是一种常见的安全威胁,攻击者通过构造恶意输入,使得数据库执行非预期的SQL命令,从而获取、修改或删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值