输入值/表单提交参数过滤有效防止sql注入的方法

最新推荐文章于 2024-07-05 10:50:18 发布
最新推荐文章于 2024-07-05 10:50:18 发布
阅读量2.1k 收藏
点赞数 1
分类专栏: php mysql
php 同时被 2 个专栏收录
162 篇文章 0 订阅
订阅专栏
mysql
94 篇文章 1 订阅
订阅专栏
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法:

/**
* 过滤sql与php文件操作的关键字
* @param string $string
* @return string
* @author zyb <zyb_icanplay@163.com>
*/
private function filter_keyword( $string ) {
$keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
$arr = explode( '|', $keyword );
$result = str_ireplace( $arr, '', $string );
return $result;
}

/**
* 检查输入的数字是否合法,合法返回对应id,否则返回false
* @param integer $id
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_id( $id ) {
$result = false;
if ( $id !== '' && !is_null( $id ) ) {
$var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字
if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
$result = intval( $var );
}
}
return $result;
}

/**
* 检查输入的字符是否合法,合法返回对应id,否则返回false
* @param string $string
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_str( $string ) {
$result = false;
$var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字
if ( !empty( $var ) ) {
if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开
$var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
//$var = str_replace( "_", "\_", $var ); // 把 '_'过滤掉
$var = str_replace( "%", "\%", $var ); // 把 '%'过滤掉
$var = nl2br( $var ); // 回车转换
$var = htmlspecialchars( $var ); // html标记转换
$result = $var;
}
return $result;
}
luyaran
关注
专栏目录
防止sql注入的url过滤
12-30
防止sql注入的url过滤器,这个平时用到过得、觉得不错、所以跟大家分享下、
过滤器防sql注入
zzchances的博客
12-24 2125
使用过滤器是解决sql注入的一种方式,其它可以端校验处理等 过滤器写法: package XXX.utils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.Enumeration; /** * sql注入过滤器 *
SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
bigbangbangbang1的博客
07-05 1521
SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。
SQL防注入-----恶意或者说是非法的SQL参数过滤
The CSDN Blog With Matol Poet !
12-08 1260
    #region SQL注入过滤    ///     /// SQL注入过滤    ///     /// 要过滤的字符串    /// 如果参数存在不安全字符,则返回false    public static bool SqlFilter(string sqlParems)    {        if (sqlParems == null || sqlParems == "") re
获取表单防止注入 子程序
aaa117659928的专栏
09-17 352
&lt;body&gt; &lt;% czkh = Saferequest("czkh",0) czme = Saferequest("czme",0) if czkh = "" or czme = "" then response.write "&lt;script&gt;alert('请填写内容');&lt;/script&gt;" respons
php表单提交防注入,php表单提交数据的验证处理(防SQL注入和XSS攻击等)
weixin_35867979的博客
03-10 191
代码实例:
JS代码防止SQL注入方法(超简单)
10-22
本文主要介绍了如何使用JavaScript代码来防止SQL注入,这是为了保证Web应用的安全性,防止恶意用户通过输入特定的SQL语句来破坏数据库。文章从两个方面进行了说明,包括URL地址防注入和输入文本框防注入。 首先,...
JSP使用过滤防止SQL注入的简单实现
01-08
所谓SQL注入,就是通过把SQL命令插入到Web表单提交输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力...
jquery过滤特殊字符’,防sql注入的实现方法
11-22
在本文中,我们将深入探讨如何使用jQuery来过滤特殊字符,以防止SQL注入攻击。SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。以下是一个实际的jQuery实现...
form表单mysql防#号注入
weixin_34401479的博客
10-12 415
form表单mysql防#号注入 #在mysql中只用来注释作用,但是它却很受***欢迎 演示两种简单input输入#号的mysql***: 数据库管理员账号user表 第一种(账号***,密码随便填): 第二种(账号随便填,密码***): 总结:特别注意写表单,一定要自己过滤掉#号。注意框架默认是没有过滤掉#号的。比如本文用到的TP3.2.2 The end 转载于:https://blog.5...
post表单防止注入
01-22
post表单,这个不知道大家会不会,传上来分享一下,呵呵
php阻止from默认提交,输入/表单提交参数过滤有效防止sql注入方法
weixin_33404102的博客
03-10 165
输入/表单提交参数过滤可以有效防止sql注入或非法攻击,下面为大家介绍些不错的方法,感兴趣的不要错过输入/表单提交参数过滤防止sql注入或非法攻击的方法:/*** 过滤sql与php文件操作的关键字* @param string $string* @return string* @author zyb */private function filter_keyword( $string ) ...
输入/表单提交参数过滤防止sql注入或非法攻击的方法
曹品东
09-27 2111
输入/表单提交参数过滤防止sql注入或非法攻击的方法:    /**      * 过滤sql与php文件操作的关键字      * @param string $string      * @return string      * @author zyb &lt;zyb_icanplay@163.com&gt;      */     private function filter_key...
php过滤提交数据 防止sql注入攻击无标题笔记
09-30 381
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
防止SQL注入和禁止回车提交表单Javascript代码
nply2008的专栏
11-25 2278
防止SQL注入和禁止回车提交表单Javascript代码http://blog.csdn.net/zuoyefeng_com/archive/2007/05/23/1623368.aspx 防止SQL注入防止SQL注入Javascript代码:function IsValid( oField ) { re= /select|update|delete|exec|count|
mysql防止注入方案_如何防止SQL注入SQL注入解决方案
weixin_42102272的博客
01-19 429
SQL注入就是通过把SQL命令插入到Web表单提交输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对于很多网站都有用户提交表单的端口,提交的数据插入MySQL数据库中,就有可能发生SQL注入安全问题,那么,如何防止SQL注入呢?针对SQL注入安全问题的预防,需时刻认定用户输入的数据是不安全的,并对用户输入的数据进行过滤处理,对不同的字段进行条件限制,符合条件的可以写入数据...
浅谈SQL注入和防SQL注入方法
低调中成长
08-06 3636
       所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.       当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作
防止SQL注入的几种方式
leifengchuan的博客
04-16 435
1、什么是SQL注入 简而言之,就是客户端向服务端发送请求时,将SQL指令插入到FORM表单或者URL中,达到欺骗服务器的目的,最终这些注入进去的SQL指令就会被服务器误认为是正常的SQL指令而执行,因此服务端的信息就存在被破坏或是泄露的危险。 2、SQL注入的防护 了解了SQL注入,就需要有针对性的进行预防,简单来说,可以考虑一下几种方式; 1)、永远不要信任客户...
.Net防止SQL注入参数验证与关键词检测
"防止SQL注入方法主要集中在服务端,包括参数验证、参数化查询以及SQL关键词检测。" 在.NET开发中,SQL注入是一种常见的安全威胁,攻击者通过构造恶意输入,使得数据库执行非预期的SQL命令,从而获取、修改或删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值