输入值/表单提交参数过滤有效防止sql注入的方法

最新推荐文章于 2018-09-27 00:00:46 发布
最新推荐文章于 2018-09-27 00:00:46 发布
阅读量227 收藏
点赞数
文章标签: java php
原文链接:http://www.cnblogs.com/zrp2013/p/4598939.html
版权

输入值/表单提交参数过滤,防止sql注入或非法攻击的方法: 

 代码如下: 
/** 
* 过滤sql与php文件操作的关键字 
* @param string $string 
* @return string 
* @author zrp <zouruiping668@sina.com> 
*/ 
private function filter_keyword( $string ) { 
$keyword = select|insert|update|delete|\|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile; 
$arr = explode( |, $keyword ); 
$result = str_ireplace( $arr, , $string ); 
return $result; 
}
View Code
/** 
* 检查输入的数字是否合法,合法返回对应id,否则返回false 
* @param integer $id 
* @return mixed 
* @author zrp <zouruiping668@sina.com>  
*/  
protected function check_id( $id ) { 
$result = false; 
if ( $id !== && !is_null( $id ) ) { 
$var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字 
if ( $var !== && !is_null( $var ) && is_numeric( $var ) ) { 
$result = intval( $var ); 
} 
} 
return $result; 
}
View Code

 


/** 
* 检查输入的字符是否合法,合法返回对应id,否则返回false 
* @param string $string 
* @return mixed 
* @author zrp <zouruiping668@sina.com> 
*/  
protected function check_str( $string ) { 
$result = false; 
$var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字 
if ( !empty( $var ) ) { 
if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开 
$var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
} 
//$var = str_replace( "_", "\_", $var ); // 把 _过滤掉 
$var = str_replace( "%", "\%", $var ); // 把 %过滤掉 
$var = nl2br( $var ); // 回车转换 
$var = htmlspecialchars( $var ); // html标记转换 
$result = $var; 
} 
return $result; 
}
View Code

输入值/表单提交参数过滤,防止sql注入或非法攻击的方法: 

代码如下:

/** 
* 过滤sql与php文件操作的关键字 
* @param string $string 
* @return string 
* @author zrp <zouruiping668@sina.com> 
*/  
private function filter_keyword( $string ) { 
$keyword = select|insert|update|delete|\|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile; 
$arr = explode( |, $keyword ); 
$result = str_ireplace( $arr, , $string ); 
return $result; 
}
View Code

 



/** 
* 检查输入的数字是否合法,合法返回对应id,否则返回false 
* @param integer $id 
* @return mixed 
* @author zrp <zouruiping668@sina.com>  
*/ 
protected function check_id( $id ) { 
$result = false; 
if ( $id !== && !is_null( $id ) ) { 
$var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字 
if ( $var !== && !is_null( $var ) && is_numeric( $var ) ) { 
$result = intval( $var ); 


return $result; 


/** 
* 检查输入的字符是否合法,合法返回对应id,否则返回false 
* @param string $string 
* @return mixed 
* @author zrp <zouruiping668@sina.com> 
*/  
protected function check_str( $string ) { 
$result = false; 
$var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字 
if ( !empty( $var ) ) { 
if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开 
$var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
} 
//$var = str_replace( "_", "\_", $var ); // 把 _过滤掉 
$var = str_replace( "%", "\%", $var ); // 把 %过滤掉 
$var = nl2br( $var ); // 回车转换 
$var = htmlspecialchars( $var ); // html标记转换 
$result = $var; 
} 
return $result; 
}
View Code

 

转载于:https://www.cnblogs.com/zrp2013/p/4598939.html

weixin_34417183
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
会员登录系统之过滤
10-19 421
今天的主要内容是过滤。就是在用户注册的时候过滤掉一些非法字符和一些不合法的格式等等。   //实现过滤接受到的表单数据的功能 //把一个带有特殊符号的字符串过滤普通的字符串 // //定义函数check_form //参数$form:是一个包含调用该函数的页面中所有input标签的数组 //   function check_form($form){   //原因 //
php 写入数据库过滤,如何安全过滤用户提交的数据提交到数据库
weixin_33653182的博客
03-21 236
sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?回复内容:sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?可以使用 mysql_real_escape_string() 对字符串进行转义,然后再放进 SQL。$name = mysql_real_escape_...
简单登陆界面(信息有效过滤)
weixin_34329187的博客
08-24 88
2019独角兽企业重金招聘Python工程师标准>>> ...
确保 PHP 应用程序的安全 -- 不能违反的四条安全规则
phphot
08-22 2128
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元素可以被认为是安全的
输入/表单提交参数过滤防止sql注入或非法攻击的方法
曹品东
09-27 2100
输入/表单提交参数过滤防止sql注入或非法攻击的方法:    /**      * 过滤sql与php文件操作的关键字      * @param string $string      * @return string      * @author zyb &lt;zyb_icanplay@163.com&gt;      */     private function filter_key...
JSP使用过滤防止SQL注入的简单实现
01-08
所谓SQL注入,就是通过把SQL命令插入到Web表单提交输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力...
php防止sql注入方法详解
12-18
SQL注入是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证用户输入数据的漏洞。当攻击者在表单字段中插入恶意的SQL语句片段时,这些非法的SQL指令会被服务器执行,可能导致数据泄露、非法权限获取甚至整个...
C#防SQL注入代码的三种方法
12-31
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#防SQL注入方法一  在Web.config文件中
SQL注入原理
07-25
SQL注入原理详解 SQL注入原理描述 SQL注入方法
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
filter对request请求拦截,对请求参数进行修改
10-08
对request请求进行拦截,对请求参数修改。常用于前台提交表单参数关键字的过滤。此工具可以对参数拦截并转义后提交到对应的处理类。 除了添加两个JsFilter.java和GetHttpServletRequestWrapper.java之外,需要在web.xml添加对应的配置。 sqlFilter weixin.idea.waiting.cq.controller.JsFilter sqlFilter /*
防止sql注入方法
qq_36031634的博客
09-06 3068
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
JavaSQL注入过滤器代码
热门推荐
seesun2012的专栏
01-14 3万+
前言 浅谈SQL注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,达到一定的非法用途。 解决办法 1、配置WEB-INF/web.xml web-app&amp;amp;gt; welcome-file-list&amp;amp;gt; welcome-file&amp;amp;gt;index.htmlwe
文本框输入防止sql注入攻击
qingmengwuhen1的博客
05-05 6767
对文本框输入文本进行校验禁止输入%和
php 过滤表单数据,防止sql 注入代码
最新发布
05-27
以下是一个简单的 PHP 代码示例,用于过滤表单数据并防止 SQL 注入攻击: ``` // 获取用户提交的表单数据 $name = $_POST['name']; $email = $_POST['email']; $message = $_POST['message']; // 过滤用户输入数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值