PHP网站SQL防注入攻击源代码,高效、健壮!

最新推荐文章于 2023-12-13 23:08:10 发布
最新推荐文章于 2023-12-13 23:08:10 发布
阅读量333 收藏 2
点赞数 1
分类专栏: PHP开发 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35340258/article/details/105279227
版权

PHP语言应用于WEB站开发,这是一个很好的选择,现在大到电商平台、门户站,小到企业、个人站,使用PHP语言开发也不是什么稀奇的事了,然而,由于开发涉及的环节较多,难免在代码结构的严谨性上有疏忽,例如站点由于漏洞而遭到SQL注入式攻击的危险也时有发生,这就要求程序们得专门写一个专门防注入的高效程式来应对。以下,就为大家分享一套简洁、有效的代码,供大家参考。

我们先给这段代码命名为 safeSql.php,以下贴代码:

<?PHP
//PHP整站防注入程序,需要在公共文件中require_once本文件
//判断magic_quotes_gpc状态
if (@get_magic_quotes_gpc ()) {
$_GET = sec ( $_GET );
$_POST = sec ( $_POST );
$_COOKIE = sec ( $_COOKIE );
$_FILES = sec ( $_FILES );
}
$_SERVER = sec ( $_SERVER );
function sec(&$array) {
//如果是数组,遍历数组,递归调用
if (is_array ( $array )) {
foreach ( $array as $k => $v ) {
$array [$k] = sec ( $v );
}
} else if (is_string ( $array )) {
//使用addslashes函数来处理
$array = addslashes ( $array );
} else if (is_numeric ( $array )) {
$array = intval ( $array );
}
return $array;
}
//整型过滤函数
function num_check($id) {
if (! $id) {
die ( '参数不能为空!' );
} //是否为空的判断
else if (inject_check ( $id )) {
die ( '非法参数' );
} //注入判断
else if (! is_numetic ( $id )) {
die ( '非法参数' );
}
//数字判断
$id = intval ( $id );
//整型化
return $id;
}
//字符过滤函数
function str_check($str) {
if (inject_check ( $str )) {
die ( '非法参数' );
}
//注入判断
$str = htmlspecialchars ( $str );
//转换html
return $str;
}
function search_check($str) {
$str = str_replace ( "_", "\_", $str );
//把"_"过滤掉
$str = str_replace ( "%", "\%", $str );
//把"%"过滤掉
$str = htmlspecialchars ( $str );
//转换html
return $str;
}
//表单过滤函数
function post_check($str, $min, $max) {
if (isset ( $min ) && strlen ( $str ) < $min) {
die ( '最少$min字节' );
} else if (isset ( $max ) && strlen ( $str ) > $max) {
die ( '最多$max字节' );
}
return stripslashes_array ( $str );
}
//防注入函数
function inject_check($sql_str) {
return eregi ('select|inert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|UNION|into|load_file|outfile', $sql_str );
// 进行过滤,防注入
}
function stripslashes_array(&$array) {
if (is_array ( $array )) {
foreach ( $array as $k => $v ) {
$array [$k] = stripslashes_array ( $v );
}
} else if (is_string ( $array )) {
$array = stripslashes ( $array );
}
return $array;
}

在生产环境下,实例化上述代码,调用相关函数就行了。

Mascaret
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入原理及php注入代码.doc
12-02
SQL注入需要在PHP代码中使用注入函数,例如sec()函数。sec()函数可以对用户输入进行过滤,SQL注入注入PHP代码可以在公共文件中require_once本文件,例如: ```php <?PHP //PHP整站注入程序,...
SQL注入攻击源代码
06-12
通过注入式字符串实现SQL注入攻击源代码
360提供的phpsql注入代码修改类
05-02
从360提供的PHPSQL注入代码改成的一个类,从SQL注入和HTTP跨站两个方面入手,解决网站存在安全风险的问题,希望对朋友们有所帮助。
php过滤非法字符函数,利用php怎么对非法字符进行过滤
weixin_28918553的博客
03-09 773
利用php怎么对非法字符进行过滤发布时间:2020-12-28 16:41:22来源:亿速云阅读:94作者:Leah这篇文章将为大家详细讲解有关利用php怎么对非法字符进行过滤,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。复制代码 代码如下:class sqlsafe {private $getfilter = "'|(and|or)\\b.+?(...
PHPSQL 注入
weixin_50251467的博客
07-21 563
我们可以将预处理语句与 PDO 一起使用,以止在 PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以止在 PHP 中进行 SQL 注入
php操作mysqlsql注入
chuaiyuan6611的博客
06-02 361
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
如何PHP中的SQL注入
m0_62946064的博客
11-04 108
内容来自 DOC如果没有对用户输入进行任何修改就插入到SQL查询中,那么应用程序就会容易受到这是因为用户可以输入类似于“value’);避免SQL注入攻击的正确方法是将数据与SQL分离,这样数据将保持数据的形式,并且永远不会被SQL解析器解释为命令。无论使用哪种数据库,都可以通过来确保安全。这些是单独发送到数据库服务器并与任何参数一起解析的SQL语句。这样,攻击者就无法注入恶意SQL。如果连接到的数据库不是MySQL,还可以参考特定于驱动程序的第二个选项(例如,和用于PostgreSQL)。
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
js/sql注入简易工具源代码
03-18
js/sql注入简易工具是一款简易的js/sql注入源码,使用者只需要先将源码添加至项目中,然后在jsp、action等一些容易注入的地方调用提供的api即可注入
360 safe3.php源码,360提供的Php注入代码
weixin_42665255的博客
03-10 301
360提供的Php注入代码//Code By Safe3function customError($errno, $errstr, $errfile, $errline){echo "Error number: [$errno],error on line $errline in $errfile" ;die();}set_error_handler("customError",E_ERROR)...
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
360提供的Php注入代码
weixin_33733810的博客
10-11 559
<?php //Code By Safe3 function customError($errno, $errstr, $errfile, $errline) { echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />" ;...
PHP中如何SQL注入攻击
最新发布
周祥平程序专栏
12-13 663
SQL 注入攻击是 Web 应用程序安全性的一个关键方面。综合以上措施,可以有效提高 PHP 应用程序抵御 SQL 注入攻击的能力。
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2402
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
php sql 注入例子代码
freshfox的博客
06-23 2781
&lt;?php $servername = "localhost"; $username = "root"; $password = "root"; $conn = mysqli_connect($servername, $username, $password); // 检测连接 if (!$conn) { die("Connection failed: " . mysqli_c...
PHP注入攻击
Ryan Z 的技术日志
07-25 1119
纯数字的参数intval强制取整 其他参数值进行过滤或者转义 protected function zaddslashes($string, $force = 0, $strip = FALSE) { if (!defined('MAGIC_QUOTES_GPC')) { define('MAGIC_QUOTES_GP
php+mysql搭建一个简单的sql注入平台
qq490765184的博客
08-19 2639
一、环境搭建 环境我使用的XAMPP,搭建php和mysql的环境非常简单。 存在问题:XAMPP中的phpMyAdmin没法使用,没法直接利用phpMyAdmin进行表的创建。 本机环境:win7 x64 +IE8二、手动在MySql中创建表     说明:使用XAMPP创建的mysql数据库是一个root密码为空的帐户,利用如下方式进行后,就可以直接操作     1.mysql的数据库的连接:...
php过滤提交数据 sql注入攻击无标题笔记
09-30 373
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
如何利用pythonsql注入攻击源代码
06-06
SQL注入攻击的一种常用方法是使用预处理语句 (Prepared Statements)。在使用预处理语句时,您可以在SQL语句中包含占位符 (Placeholder),而不是直接插入用户输入的数据。 举个例子,假设我们要执行一个SELECT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值