php 禁止用注入函数,PHP防注入函数代码总结_PHP教程

最新推荐文章于 2024-03-07 08:15:00 发布
最新推荐文章于 2024-03-07 08:15:00 发布
阅读量402 收藏 1
点赞数
文章标签: php 禁止用注入函数

/*

函数名称:post_check()

函数作用:对提交的编辑内容进行处理

参  数:$post: 要提交的内容

返 回 值:$post: 返回过滤后的内容

*/

function post_check($post) {

if (! get_magic_quotes_gpc ()) { // 判断magic_quotes_gpc是否为打开

$post = addslashes ( $post ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤

}

$post = str_replace ( "_", "_", $post ); // 把 '_'过滤掉

$post = str_replace ( "%", "%", $post ); // 把 '%'过滤掉

$post = nl2br ( $post ); // 回车转换

$post = htmlspecialchars ( $post ); // html标记转换

return $post;

}

/*

函数名称:inject_check()

函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全

参  数:$sql_str: 提交的变量

返 回 值:返回检测结果,ture or false

*/

function inject_check($sql_str) {

return eregi('select|insert|and|or|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str); // 进行过滤

}

/*

函数名称:verify_id()

函数作用:校验提交的ID类值是否合法

参  数:$id: 提交的ID值

返 回 值:返回处理后的ID

*/

function verify_id($id=null) {

if (!$id) { exit('没有提交参数!'); } // 是否为空判断

elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断

elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断

$id = intval($id); // 整型化

return $id;

}

// $rptype = 0 表示仅替换 html标记

// $rptype = 1 表示替换 html标记同时去除连续空白字符

// $rptype = 2 表示替换 html标记同时去除所有空白字符

// $rptype = -1 表示仅替换 html危险的标记

function HtmlReplace($str, $rptype = 0) {

$str = stripslashes ( $str );

if ($rptype == 0) {

$str = htmlspecialchars ( $str );

} else if ($rptype == 1) {

$str = htmlspecialchars ( $str );

$str = str_replace ( " ", ' ', $str );

$str = ereg_replace ( "[rnt ]{1,}", ' ', $str );

} else if ($rptype == 2) {

$str = htmlspecialchars ( $str );

$str = str_replace ( " ", '', $str );

$str = ereg_replace ( "[rnt ]", '', $str );

} else {

$str = ereg_replace ( "[rnt ]{1,}", ' ', $str );

$str = eregi_replace ( 'script', 'script', $str );

$str = eregi_replace ( "]*>", '', $str );

}

return addslashes ( $str );

}

//递归ddslashes

function daddslashes($string, $force = 0, $strip = FALSE) {

if (! get_magic_quotes_gpc () || $force) {

if (is_array ( $string )) {

foreach ( $string as $key => $val ) {

$string [$key] = daddslashes ( $val, $force );

}

} else {

$string = addslashes ( $strip ? stripslashes ( $string ) : $string );

}

}

return $string;

}

//递归stripslashes

function dstripslashes($string) {

if (is_array ( $string )) {

foreach ( $string as $key => $val ) {

$string [$key] = $this->dstripslashes ( $val );

}

} else {

$string = stripslashes ( $string );

}

return $string;

}

/**

* 安全过滤函数

* @param $string 要过滤的字符串

* @return string 返回处理过的字符串

*/

function safe_replace($string) {

$string = str_replace('%20','',$string);

$string = str_replace('%27','',$string);

$string = str_replace('%2527','',$string);

$string = str_replace('*','',$string);

$string = str_replace('"','"',$string);

$string = str_replace("'",'',$string);

$string = str_replace('"','',$string);

$string = str_replace(';','',$string);

$string = str_replace('

$string = str_replace('>','>',$string);

$string = str_replace("{",'',$string);

$string = str_replace('}','',$string);

return $string;

}

/**

* 使用htmlspecialchars处理字符串或数组

* @param $obj 需要处理的字符串或数组

* @return mixed 返回经htmlspecialchars处理过的字符串或数组

*/

function new_htmlspecialchars($string) {

if(!is_array($string))

return htmlspecialchars($string);

foreach($string as $key => $val)

$string[$key] = new_htmlspecialchars($val);

return $string;

}

//处理禁用HTML但允许换行的内容

function TrimMsg($msg) {

$msg = trim ( stripslashes ( $msg ) );

$msg = nl2br ( htmlspecialchars ( $msg ) );

$msg = str_replace ( " ", " ", $msg );

return addslashes ( $msg );

}

何处话死两个
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码注入PHP代码注入漏洞
cc
03-06 6107
call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第二个参数作为内容写入到第一个参数的文件中。
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric (mixed $var)如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。二、函数是否安全接下来...
php中的sql注入
ocean2017的博客
03-17 1366
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 2833
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashes止SQL注入,还是建议大家加强中文止SQL注入的检查。
PHP止SQL注入的方法
tongluren381的博客
10-20 3750
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
php注入工具的函数,PHP的一些注入函数
weixin_34207865的博客
03-10 290
PHP的一些注入函数[codes=php]/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str) {return eregi('select|insert|update|dele...
php中addslashes函数与sql注入
10-25
主要介绍了php中addslashes函数与sql注入,实例讲述了采用addslashes函数对于sql注入的用处,对于PHP安全程序设计来说具有不错的参考借鉴价值,需要的朋友可以参考下
discuz的php止sql注入函数
12-17
论坛的注入函数,这些函数包括`daddslashes()`、`inject_check()`、`verify_id()`、`str_check()`以及`post_check()`。 1. `daddslashes()`函数:这个函数的作用是对字符串进行转义,添加反斜杠 `\` 在可能引起...
比较好用的PHP注入漏洞过滤函数代码
12-18
标题中的“比较好用的PHP注入漏洞过滤函数代码”指的是一个PHP代码片段,用于保护Web应用程序免受SQL注入攻击。这种攻击通常是通过恶意用户输入含有SQL命令的参数,以执行未授权的操作。以下是对该代码的详细解释...
PHP 注入函数(格式化数据)
01-20
复制代码 代码如下: <? //格式化数据(注入) function site_addslashes($string, $force = 0) { !defined(‘MAGIC_QUOTES_GPC’) && define(‘MAGIC_QUOTES_GPC’, get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = daddslashes($val, $force); } }
PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1508
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
php应对sql注入数据库处理
最新发布
aicsswo的博客
03-07 657
PHP止SQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。
post注入过滤 php,PHP之POST参数过滤,止SQL注入
weixin_30139213的博客
03-12 849
php整站sql注入程序,对于MySQL用户,可以使用函数mysql_real_escape_string( ),此函数需要注意编码问题,另外还有一个函数mysql_escape_string( )也可以使用,尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes()是最终的比较好的方法。当所有用于建立一个SQL语句的数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。...
php什么函数可以注入,php什么函数可以止SQL注入
weixin_39800971的博客
03-19 298
不要相信用户的在登陆中输入的内容,需要对用户的输入进行处理SQL注入:(推荐学习:PHP编程从入门到精通)' or 1=1 #止SQL注入的几个函数:addslashes($string):用反斜线引用字符串中的特殊字符' " \$username=addslashes($username);mysql_escape_string($string):用反斜杠转义字符串中的特殊字符,用于mysql...
php.ini+止sql注入,phpsql注入的一些简单php.ini配置与php函数
weixin_35024589的博客
03-12 287
1.magic_quotes_gpc(魔术引号开关)magic_quotes_gpc函数php中的作用是判断解析用户提示的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。在magic_quotes_gpc = On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线(\)与 N...
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1294
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php > 关于注入
mft8899的博客
06-09 130
  From : http://hudeyong926.iteye.com/blog/703074   &lt;?php $field = explode(',', $data); array_walk($field, array($this, 'add_special_char')); $data = implode(',', $field); /** * 对字段两边加反引号...
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2429
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值