php 过滤特殊字符及sql防注入代码

最新推荐文章于 2021-04-12 02:34:10 发布
最新推荐文章于 2021-04-12 02:34:10 发布
阅读量279 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helen_shw/article/details/104035800
版权

<?php

//方法一
//过滤',",sql语名
addslashes();

//方法二,去除所有html标签

strip_tags();

//方法三过滤可能产生代码

function php_sava($str) 
{ 
    $farr = array( 
        "/s+/",                                                                                          
        "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU",   
        "/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU",                                      
      
   ); 
   $tarr = array( 
        " ", 
        "<>",           //如果要直接清除不安全的标签,这里可以留空 
        "", 
   );

$str = preg_replace( $farr,$tarr,$str); 
   return $str; 
}

//php sql防注入代码

class sqlin
{

//dowith_sql($value)
function dowith_sql($str)
{
   $str = str_replace("and","",$str);
   $str = str_replace("execute","",$str);
   $str = str_replace("update","",$str);
   $str = str_replace("count","",$str);
   $str = str_replace("chr","",$str);
   $str = str_replace("mid","",$str);
   $str = str_replace("master","",$str);
   $str = str_replace("truncate","",$str);
   $str = str_replace("char","",$str);
   $str = str_replace("declare","",$str);
   $str = str_replace("select","",$str);
   $str = str_replace("create","",$str);
   $str = str_replace("delete","",$str);
   $str = str_replace("insert","",$str);
   $str = str_replace("'","",$str);
   $str = str_replace(""","",$str);
   $str = str_replace(" ","",$str);
   $str = str_replace("or","",$str);
   $str = str_replace("=","",$str);
   $str = str_replace("%20","",$str);
   //echo $str;
   return $str;
}
//aticle()防SQL注入函数//php教程
function sqlin()
{
   foreach ($_GET as $key=>$value)
   {
       $_GET[$key]=$this->dowith_sql($value);
   }
   foreach ($_POST as $key=>$value)
   {
       $_POST[$key]=$this->dowith_sql($value);
   }
}
}

$dbsql=new sqlin();
?>
===================================================================================
使用方式:
将以上代码复制新建一个sqlin.php的文件,然后包含在有GET或者POST数据接收的页面
原理:
将所有的SQL关键字替换为空
本代码在留言本中不能使用,若要在留言本中使用请替换其中的
.......
$str = str_replace("and","",$str);

$str = str_replace("%20","",$str);
...
的代码为:
$str = str_replace("and","&#97;nd",$str);
$str = str_replace("execute","&#101;xecute",$str);
$str = str_replace("update","&#117;pdate",$str);
$str = str_replace("count","&#99;ount",$str);
$str = str_replace("chr","&#99;hr",$str);
$str = str_replace("mid","&#109;id",$str);
$str = str_replace("master","&#109;aster",$str);
$str = str_replace("truncate","&#116;runcate",$str);
$str = str_replace("char","&#99;har",$str);
$str = str_replace("declare","&#100;eclare",$str);
$str = str_replace("select","&#115;elect",$str);
$str = str_replace("create","&#99;reate",$str);
$str = str_replace("delete","&#100;elete",$str);
$str = str_replace("insert","&#105;nsert",$str);
$str = str_replace("'","&#39;",$str);
$str = str_replace(""","&#34;",$str);

?>

haiwei_sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入原理及php注入代码.doc
12-02
SQL注入原理及PHP注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来访问或修改敏感数据。SQL注入需要了解SQL注入原理和SQL注入的方法。 基本概念 PHP中...
PHP用正则匹配过滤排除或判断不需要的字符,只保留汉字或其它,sql盲注攻击
最新发布
04-19 666
以,编码为utf-8的,\x{4e00}-\x{9fff}代表utf8编码下的汉字编码范围.,姓名字段只允许提交汉字.其它字符会删除掉.并且字数限制10个字,止被sql注入攻击.二,会员登录合法性判断.会员可能邮箱与手机号等登录。一,比如留言表单输入。
phpsql,phpsql注入过滤代码
weixin_39644713的博客
03-09 147
sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。functionfilter($str){if(empty($str))returnfalse;$str=htmlspecialchars($str);$str=str_replace('/',"",$str);$str=str_replace('"',"",$str);$st...
php正则过滤sql关键字,使用正则表达式屏蔽关键字的方法
weixin_32058931的博客
03-21 428
【问题】关键字屏蔽是社交类软件必做的功能,当然了,一般来讲都是产品的中后期来做;不同产品规定不一样,跟着产品运营走,可以的【方法】我们从技术的角度来看到这个问题,实现一个功能后者说实现一个需求,其方法是多种多样的,重点是找到适合我们当下产品的;比如:我们可以在后端进行数据处理之后,传递到前端;也可以在前端进行数据处理;这里我们要说的就是前端的JS处理方法,后端的php处理方法【JS方法】// 进行...
php sql语句过滤,PHP过滤用户提交信息(SQL注入)
weixin_35964787的博客
03-09 515
请求层面的过滤在 request 层面 我们可能要做的是如何止非法html 的标签的提交, 例如等。在这里 我们可以用一个php 函数 htmlspecialchars (http://www.php.net/manual/en/function.htmlspecialchars.php)这样的话前台提交的所有内容 如果包含html 标签的话 就会被转义,并且在输出的时候 这些标签会直接显示在浏...
php过滤sql字符串,php过滤html字符串,SQL注入的方法
weixin_29231263的博客
04-08 196
php过滤html字符串,SQL注入的方法发布于 2015-01-13 18:53:39 | 138 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件...
360提供的phpsql注入代码修改类
05-02
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。 一、SQL注入 SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...
止xss和sql注入:JS特殊字符过滤正则
10-27
总结起来,止XSS和SQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证和安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...
jquery过滤特殊字符’,sql注入的实现方法
11-22
在本文中,我们将深入探讨如何使用jQuery来过滤特殊字符,以SQL注入攻击。SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。以下是一个实际的jQuery实现...
php过滤sql关键字,PHP_详解WordPress开发中过滤属性以及Sql语句的函数使用,esc_attr()(过滤属性) 一般在 - phpStudy...
weixin_28860509的博客
03-11 410
详解WordPress开发中过滤属性以及Sql语句的函数使用esc_attr()(过滤属性)一般在写 Html 代码的标签属性的时候会是下边的格式:那如果 value 属性是动态输出的呢?但是,如果动态输出的属性里有双引号、尖括号等特殊字符,Html 代码就会被打乱,这时就可以使用 esc_attr() 函数对输出的属性进行转义。使用方法esc_attr( $text );参数$text (字符串...
PHP屏蔽过滤指定关键字的方法
10-25
主要介绍了PHP屏蔽过滤指定关键字的方法,包含了字符串的过滤处理与数组的遍历等技巧,非常具有实用价值,需要的朋友可以参考下
六个建议SQL注入式攻击
06-30
SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码
sql php 过滤特殊字符,phpsql注入过滤特殊字符
weixin_31487521的博客
04-12 405
我在PHP4环境下写了一个SQL注入代码,经过实际使用在PHP5下也兼容,欢迎大家使用修改,使用。代码如下:/*sqlin 注入类*/class sqlin{//dowith_sql($value)function dowith_sql($str){$str = str_replace("and","",$str);$str = str_replace("execute","",$str);...
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 493
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
SQL注入御之二——注入关键词过滤PHP
心有猛虎,细嗅蔷薇!
08-23 1万+
SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 概述  欢迎来到本人的SQL注入御系列的第二篇文章,上一篇文章我们讲到了伪静态的技术来SQL注入,但是正如我们总结的,不能完全依赖于伪静态就能达到SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受
php 过滤特殊字符sql注入代码以及xss攻击等
怎奈你何的博客
10-30 465
//过滤方法 function filterWords(&$str){ $farr = array( "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU", "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", "/select\b|insert\b|update\b|delete\b|...
phpSQL注入详解及
生而为人我很抱歉
07-13 1639
一个是没有对输入的数据进行过滤过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: Username: Password: 作为一
phpsql注入过滤特殊字符
热门推荐
mingmingsuper的专栏
04-04 1万+
 phpSQL注入2009-01-18 10:34我在PHP4环境下写了一个SQL注入代码,经过实际使用在PHP5下也兼容,欢迎大家使用修改,使用。代码如下:/*sqlin 注入类*/class sqlin{//dowith_sql($value)function dowith_sql($str){   $str = str_replace("a
PHP代码注入与系统命令注入知识点总结
这种漏洞类似于SQL注入漏洞,但它是将代码注入到应用中,而不是注入到数据库中执行。 PHP代码注入的成因主要有两个:程序中含有可以执行PHP代码的函数或者语言结构,和传入这些函数的参数可以被客户端控制。 **相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值