php sql语句过滤,php如何做sql过滤

最新推荐文章于 2021-04-12 02:34:10 发布
最新推荐文章于 2021-04-12 02:34:10 发布
阅读量748 收藏
点赞数
文章标签: php sql语句过滤

20d0c65f0f500a876d48c23e52e1519f.png

php如何做sql过滤

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。因此,在执行sql语句前,一定要对用户输入的数据进行过滤处理。

防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。function filter($str)

{

if (empty($str)) return false;

$str = htmlspecialchars($str);

$str = str_replace( '/', "", $str);

$str = str_replace( '"', "", $str);

$str = str_replace( '(', "", $str);

$str = str_replace( ')', "", $str);

$str = str_replace( 'CR', "", $str);

$str = str_replace( 'ASCII', "", $str);

$str = str_replace( 'ASCII 0x0d', "", $str);

$str = str_replace( 'LF', "", $str);

$str = str_replace( 'ASCII 0x0a', "", $str);

$str = str_replace( ',', "", $str);

$str = str_replace( '%', "", $str);

$str = str_replace( ';', "", $str);

$str = str_replace( 'eval', "", $str);

$str = str_replace( 'open', "", $str);

$str = str_replace( 'sysopen', "", $str);

$str = str_replace( 'system', "", $str);

$str = str_replace( '$', "", $str);

$str = str_replace( "'", "", $str);

$str = str_replace( "'", "", $str);

$str = str_replace( 'ASCII 0x08', "", $str);

$str = str_replace( '"', "", $str);

$str = str_replace( '"', "", $str);

$str = str_replace("", "", $str);

$str = str_replace("&gt", "", $str);

$str = str_replace("&lt", "", $str);

$str = str_replace("

$str = str_replace("", "", $str);

$str = str_replace("

$str = str_replace("", "", $str);

$str = str_replace("select","",$str);

$str = str_replace("join","",$str);

$str = str_replace("union","",$str);

$str = str_replace("where","",$str);

$str = str_replace("insert","",$str);

$str = str_replace("delete","",$str);

$str = str_replace("update","",$str);

$str = str_replace("like","",$str);

$str = str_replace("drop","",$str);

$str = str_replace("DROP","",$str);

$str = str_replace("create","",$str);

$str = str_replace("modify","",$str);

$str = str_replace("rename","",$str);

$str = str_replace("alter","",$str);

$str = str_replace("cas","",$str);

$str = str_replace("&","",$str);

$str = str_replace(">","",$str);

$str = str_replace("

$str = str_replace(" ",chr(32),$str);

$str = str_replace(" ",chr(9),$str);

$str = str_replace(" ",chr(9),$str);

$str = str_replace("&",chr(34),$str);

$str = str_replace("'",chr(39),$str);

$str = str_replace("
",chr(13),$str);

$str = str_replace("''","'",$str);

$str = str_replace("css","'",$str);

$str = str_replace("CSS","'",$str);

$str = str_replace("

AI Starter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于PHP+SQL考勤系统安全性实现
04-29
通过预处理语句和参数化查询等方式,确保用户输入的数据不会被解释为SQL代码,从而有效避免了潜在的注入风险。 三、数据加密与存储 系统对用户敏感数据(如密码、个人信息等)进行了加密处理,确保数据在存储和...
phpsql语句过滤,PHP实例:详解WordPress开发中过滤属性以及Sql语句的函数使用
weixin_39730671的博客
03-12 120
PHP实例:详解WordPress开发中过滤属性以及Sql语句的函数使用》要点:本文介绍了PHP实例:详解WordPress开发中过滤属性以及Sql语句的函数使用,希望对您有用。如果有疑问,可以联系我们。esc_attr()(过滤属性)一般在写 Html 代码的标签属性的时候会是下边的格式:PHP实战PHP实战那如果 value 属性是动态输出的呢?PHP实战PHP实战但是,如果动态输出的属性里...
php过滤sql字符串,php过滤html字符串,防止SQL注入方法
weixin_29231263的博客
04-08 191
php过滤html字符串,防止SQL注入方法发布于 2015-01-13 18:53:39 | 138 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件...
SQL注入防御之二——注入关键词过滤PHP
热门推荐
心有猛虎,细嗅蔷薇!
08-23 1万+
SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 概述  欢迎来到本人的SQL注入防御系列的第二篇文章,上一篇文章我们讲到了伪静态的技术来防止SQL注入,但是正如我们总结的,不能完全依赖于伪静态就能达到防止SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受
phpsql注入漏洞示例 sql注入漏洞修复
12-18
在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。...这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。...因为用户构造了特殊的SQL语句,必定返回特殊的结果(只要你的SQL
详解WordPress开发中过滤属性以及Sql语句的函数使用
12-19
esc_attr()(过滤属性) 一般在写 Html 代码的标签属性的时候会是下边的格式: <input type="text" name="rep" value="rep_value" /> 那如果 value 属性是动态输出的呢? <input type="text" name="rep...
PHP+SQL考勤系统安全性实现(源代码+论文+答辩PPT+指导书)毕业设计
03-18
我们可以通过使用预处理语句和过滤输入来防止此类攻击。预处理语句可以将用户输入转换为数据库查询参数的值,从而防止黑客注入恶意代码。另外,我们还需要对用户输入进行过滤和验证,以确保输入的数据符合预期格式和...
PHP中防止SQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要...
php sql语句过滤,PHP过滤用户提交信息(防SQL注入)
weixin_35964787的博客
03-09 511
请求层面的过滤在 request 层面 我们可能要的是如何防止非法html 的标签的提交, 例如等。在这里 我们可以用一个php 函数 htmlspecialchars (http://www.php.net/manual/en/function.htmlspecialchars.php)这样的话前台提交的所有内容 如果包含html 标签的话 就会被转义,并且在输出的时候 这些标签会直接显示在浏...
php sql语句过滤,详解WordPress中过滤链接与过滤SQL语句方法
weixin_36204061的博客
03-09 115
esc_url()(过滤链接)很多 URL 会有一些小错误,用 esc_url() 函数可以屏蔽或者修正这些错误,并且可以拒绝不安全的协议。esc_url() 函数的工作内容:默认拒绝不是下面协议的 URL:defaulting to http、https、ftp、ftps、mailto、news、irc、gopher、nntp、feed 和 telnet删除无效字符和危险的字符将字符转换成 HT...
php sql注入参数过滤器,防SQL注入过滤器的实现
weixin_36155081的博客
03-26 785
1- 配置web.xml,增加过滤器配置PreventSqlInjectSqlInjectFiltersensitive-wordsselectinsertdeletefromupdatecreatedestorydropalterandorlikeexeccountchrmidmastertruncatechardeclare;'%<>...
sql php 过滤特殊字符,phpsql注入过滤特殊字符
weixin_31487521的博客
04-12 394
我在PHP4环境下写了一个防SQL注入的代码,经过实际使用在PHP5下也兼容,欢迎大家使用修改,使用。代码如下:/*sqlin 防注入类*/class sqlin{//dowith_sql($value)function dowith_sql($str){$str = str_replace("and","",$str);$str = str_replace("execute","",$str);...
php sql 过滤
weixin_30480651的博客
11-10 188
<?php $_POST=sql_injection($_POST); $_GET=sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($content as $k...
php 字符串防注入,php 字符过滤和防sql注入
weixin_42510317的博客
03-09 251
Filter,它的作用就和他的名字一样——过滤过滤规则成为过滤器,Filter内置了多个常用过滤器,根据过滤器功能的不同,可以分成净化过滤器(Sanitization)和验证过滤器(Validation)两种。两种的差别在于,净化过滤器会把被过滤的变量中不符合规则的东西清除掉,返回清除后的内容;而验证过滤器只是验证的功能,并不会去改变变量的值,如果符合过滤器的规则,则返回变量内容,否则返回fal...
php mysql字符串过滤_php过滤字符串
weixin_33617691的博客
01-26 194
addslashes();stripslashes(); //对数据库教程操作时,转义特殊字符定义:addslashes() 函数在指定的预定义字符前添加反斜杠。语法:addslashes(string)chop(); //除去字符串右边空格trim(); //除去字符串中所有空格ltrim(); //除去字符串左边空格htmlspecialchars(); //转换'$','"',''为相应的h...
强大的PHPSQL注入类,可以过滤敏感参数
weixin_33978044的博客
03-22 504
这是一个考虑比较全面的phpsql结合的防注入程序,在php方便主要对get,post,cooke,files进行了过滤,在sql中我们就对delete,update一些查询命令进行检测过滤SQL注入攻击的总体思路 发现SQL注入位置; 判断后台数据库类型; 确定XP_CMDSHELL可执行情况 发现WEB虚拟目录 上传ASP,...
php过滤sql关键字,PHP_详解WordPress开发中过滤属性以及Sql语句的函数使用,esc_attr()(过滤属性) 一般在 - phpStudy...
weixin_28860509的博客
03-11 390
详解WordPress开发中过滤属性以及Sql语句的函数使用esc_attr()(过滤属性)一般在写 Html 代码的标签属性的时候会是下边的格式:那如果 value 属性是动态输出的呢?但是,如果动态输出的属性里有双引号、尖括号等特殊字符,Html 代码就会被打乱,这时就可以使用 esc_attr() 函数对输出的属性进行转义。使用方法esc_attr( $text );参数$text (字符串...
php数据输入sql过滤,PHP安全,防止SQL注入(输入过滤,输出转义)
weixin_26884391的博客
03-18 197
(1)magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理(2)防止对数字值的SQL注入,如用intval()等函数进行处理(3)mysql_real_escape_string( string ) addslashes(string)以上是利用PHP自带函数来防止SQL注入下面提供一个例子,是在一个页面实现过滤,然后,需要...
php sql语句过滤
最新发布
05-24
为了避免 SQL 注入攻击,需要对用户输入的 SQL 语句进行过滤。以下是一些常见的过滤方法: 1. 使用 PHP 内置的函数进行过滤,如 mysqli_real_escape_string()、PDO::quote() 等。 2. 使用参数化查询(prepared statements)来执行 SQL 语句,这可以有效地防止 SQL 注入攻击。 3. 对于特殊字符,可以使用 addslashes() 函数进行转义。 4. 对于数字类型的数据,需要使用 is_numeric() 函数进行验证。 5. 对于字符串类型的数据,需要使用 ctype_alpha()、ctype_digit() 等函数进行验证。 6. 尽量避免使用动态拼接 SQL 语句的方式,而是使用预定义的 SQL 语句模板。 总之,要保证 SQL 语句的安全性,需要从多个方面来进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值