http://blog.csdn.net/jbb0403/article/details/36626515 原文
这两天用360网站安全检测网站,检测出SQL注入漏洞和XSS跨站攻击脚本N多项bug,然后上网找各种资料,把大部分的资料都看了一遍,最后自己总结了如下代码:
a、防止SQL注入代码:
function clean_SQLinject( $string ){ if (!get_magic_quotes_gpc()){ $string = mysql_real_escape_string( $string ); $string = addslashes ( $string ); } $string = str_replace ( "_" , "\_" , $string ); $string = str_replace ( "%" , "\%" , $string ); return $string ; }
b、防止XSS跨站攻击代码:
function clean_xss(& $string ){ if (! is_array ( $string )){ $string = trim( $string ); $string = strip_tags ( $string ); $string = htmlspecialchars( $string ); $string = str_replace ( array ( '"' , "\\ ", " '", "/", "..", "../", "./", "//" ), ' ', $string ); $no = '/%0[0-8bcef]/' ; $string = preg_replace ( $no , '' , $string ); $no = '/%1[0-9a-f]/' ; $string = preg_replace ( $no , '' , $string ); $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S' ; $string = preg_replace ( $no , '' , $string ); return True; } $keys = array_keys ( $string ); foreach ( $keys as $key ){ clean_xss($string [ $key ]); } }
c、后来改文件时候很多地方的查询语句的where条件用到了大量post或get过来的参数,一个一个过滤闲太麻烦,所以发明了如下函数:
d、对传过来的post和get参数组直接过滤,包含过滤SQL注入和XSS攻击:
function clean_post( $post ) { if (!get_magic_quotes_gpc()){ $post = addslashes ( $post ); } $post = str_replace ( "_" , "\_" , $post ); $post = str_replace ( "%" , "\%" , $post ); $post = nl2br ( $post ); $post = htmlspecialchars( $post ); return $post ; }
备注(关于XSS):
1、PHP 防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。
2、在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函数默认只是转化双引号(“), 不对单引号(‘)做转义.
3、所以,htmlspecialchars函数更多的时候要加上第二个参数, 应该这样用: htmlspecialchars($string,ENT_QUOTES).当然,如果需要不转化引号,用htmlspecialchars($string,ENT_NOQUOTES).
4、另外, 尽量少用htmlentities, 在全部英文的时候htmlentities和htmlspecialchars没有区别,都可以达到目的.但是,中文情况下, htmlentities却会转化所有的html代码,连同里面的它无法识别的中文字符也给转化了。
5、htmlentities和htmlspecialchars这两个函数对 '之类的字符串支持不好,都不能转化, 所以用htmlentities和htmlspecialchars转化的字符串只能防止XSS攻击,不能防止SQL注入攻击.