php如何防止SQL注入

最新推荐文章于 2023-07-21 12:14:00 发布
最新推荐文章于 2023-07-21 12:14:00 发布
阅读量716 收藏 1
点赞数
分类专栏: PHP相关 文章标签: sql php merge function url

<?php
/*************************
说明:
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能:
防注入
**************************/

//要过滤的非法字符
$ArrFiltrate=array("'",";","union","add");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="http://localhost/news.php?id=46";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
    if (eregi($value,$StrFiltrate)){
        return true;
    }
}
return false;
}

//合并$_POST 和 $_GET
if(function_exists(array_merge)){
    $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
    foreach($HTTP_POST_VARS as $key=>$value){
        $ArrPostAndGet[]=$value;
    }
    foreach($HTTP_GET_VARS as $key=>$value){
        $ArrPostAndGet[]=$value;
    }
}

//验证开始
foreach($ArrPostAndGet as $key=>$value){
    if (FunStringExist($value,$ArrFiltrate)){
        echo "<script language=/"javascript/">alert(/"非法字符/");</script>";
        if (empty($StrGoUrl)){
        echo "<script language=/"javascript/">history.go(-1);</script>";
        }else{
        echo "<script language=/"javascript/">window.location=/"".$StrGoUrl."/";</script>";
        }
        exit;
    }
}
?>

plutohusky
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
很好用的PHP防注入类
06-23
简介:<?php  /**   * 参数处理类   * @author JasonWei   */  class Params  {      public $get = array();        public $post = array();        function __construct()      {  if (!emptyempty($_GET)) {      foreach ($_GET as $key => $val) {  if (is_numeric($val)) {      $this->get[$key] = $this->getInt($val);  } else {      $this->get[$key] = $this->getStr($val);  }      }  }  if (!emptyempty($_POST)) {      foreach ($_POST as $key => $val) {  if (is_numeric($val)) {      $this->post[$key] = $this->getInt($val);  } else {      $this->post[$key] = $this->getStr($val);  }      }  }这是一份很好用的PHP防注入类,需要的朋友可以下载使用
php防止sql注入的方法详解
10-20
本文主要介绍了php防止sql注入的方法。具有很好的参考价值,下面跟着小编一起来看下吧
PHP防止 SQL 注入
最新发布
weixin_50251467的博客
07-21 534
我们可以将预处理语句与 PDO 一起使用,以防止PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以防止 SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以防止PHP 中进行 SQL 注入。
php 防止被get,PHP如何过滤GET或者POST的参数?如何样才能保证代码不被注入
weixin_42500240的博客
03-10 326
------解决方案--------------------直接查查 魔术转换 相关东西吧不用去看wordpress了,学这么个东西还要去看wordpress,搞死人啊------解决方案--------------------if (!get_magic_quotes_gpc())//如果没有开启的话{/****需要对这几个数组,遍历,注意数组多维的情况,addslashes($str)就可以$...
PHPSQL注入代码,PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2298
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
php注入类,简单实用的PHP防注入类实例_PHP
weixin_39548776的博客
03-11 66
本文实例讲述了简单实用的PHP防注入类。分享给大家供大家参考。具体如下:PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全.PHP防注入类代码如下:代码如下:/*** 参数处理类* @author JasonWei*/class Params{public $get = arra...
php防止sql注入简单分析
10-24
主要介绍了php防止sql注入的方法,简单分析了通过stripslashes及mysql_real_escape_string函数进行字符转移处理的技巧,非常具有实用价值,需要的朋友可以参考下
php防止SQL注入详解及防范
10-26
SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞
php防止sql注入代码实例
10-26
本文介绍了php防止sql注入的代码实例,大家参考使用吧
比较好用的PHP防注入漏洞过滤函数代码
12-18
复制代码 代码如下: <?PHP //PHP整站防注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST ); $_COOKIE = sec ( $_COOKIE ); $_FILES = sec ( $_FILES ); } $_SERVER = sec ( $_SERVER ); function sec(&$array) { //如果是数组,遍历数组,递归调用 if (is_array (
php 防注入
11-26 709
/*************************说明:判断传递的变量中是否含有非法字符如$_POST、$_GET功能:防注入**************************///要过滤的非法字符$ArrFiltrate=array("",";","union");//出错后要跳转的url,不填则默认前一页$StrGoUrl="";//是否存在数组中的值function FunStri
php 怎么防注入,php 防止注入的几种办法
weixin_42515120的博客
03-26 1990
php教程 防止注入的几种办法其实原来就是我们需要过滤一些我们常见的关键字和符合如:select,insert,update,delete,and,*,等等例子:function inject_check($sql_str) {return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile',...
php防变量注入,浅谈PHP防注入
weixin_33834241的博客
03-11 141
某年某月某日某时某分某秒,某人在阅读某PHP程序代码时,发现某处将输入“直接”带入查询语句,当他兴冲冲地抄起阿D时,却没有注入点(magic_quotes_gpc为off)。当他仔细查看代码时,也没发现过滤语句,这是怎么回事呢?实际上,这个程序用了预备查询技术。预备查询技术为何方神圣,且听危险漫步给各位慢慢道来。预备查询技术实际上是将不完整的SQL语句(如:select * from xxx wh...
php 防注入的一些总结
Zack 的博客
07-26 5693
一、几个与特殊字符处理有关的PHP函数  函数名  释义  介绍 htmlspecialchars 将与、单双引号、大于和小于号化成HTML格式 &转成&  "转成" ' 转成' >转成> htmlentities() 所有字符都转成HTML格式 除上面htmlspecialchars字符外,还包括双字节字符
PHP最全防止sql注入方法
热门推荐
zhao_teng的博客
09-20 1万+
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下:   $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and pas...
php过滤提交数据 防止sql注入攻击无标题笔记
09-30 368
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
PHP POST, GET 参数过滤,预防sql注入函数
ddbqxd5560的博客
06-21 556
1、 实际过滤函数 可适当修改其中的正则表示式 1 static public function filterWords(&$str) 2 { 3 $farr = array( 4 "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object...
php 防止sql注入
07-21
为了防止 SQL 注入攻击,PHP 提供了一些安全措施和最佳实践。下面是一些常见的方法: 1. 使用预处理语句(Prepared Statements):预处理语句是使用占位符来代替用户输入,然后将输入参数与 SQL 查询分离。这样可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值