输入值/表单提交参数过滤,防止sql注入或非法攻击的方法

最新推荐文章于 2021-07-06 16:13:29 发布
最新推荐文章于 2021-07-06 16:13:29 发布
阅读量2.0k 收藏
点赞数

输入值/表单提交参数过滤,防止sql注入或非法攻击的方法:
   /**
     * 过滤sql与php文件操作的关键字
     * @param string $string
     * @return string
     * @author zyb <zyb_icanplay@163.com>
     */
    private function filter_keyword( $string ) {
        $keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
        $arr = explode( '|', $keyword );
        $result = str_ireplace( $arr, '', $string );
        return $result;
    }

    /**
     * 检查输入的数字是否合法,合法返回对应id,否则返回false
     * @param integer $id
     * @return mixed
     * @author zyb <zyb_icanplay@163.com>
     */
    protected function check_id( $id ) {
        $result = false;
        if ( $id !== '' && !is_null( $id ) ) {
            $var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字
            if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
                $result = intval( $var );
            }
        }
        return $result;
    }

    /**
     * 检查输入的字符是否合法,合法返回对应id,否则返回false
     * @param string $string
     * @return mixed
     * @author zyb <zyb_icanplay@163.com>
     */
    protected function check_str( $string ) {
        $result = false;
        $var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字
        if ( !empty( $var ) ) {
            if ( !get_magic_quotes_gpc() ) {    // 判断magic_quotes_gpc是否为打开
                $var = addslashes( $string );    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
            }
            //$var = str_replace( "_", "\_", $var );    // 把 '_'过滤掉
            $var = str_replace( "%", "\%", $var );    // 把 '%'过滤掉
            $var = nl2br( $var );    // 回车转换
            $var = htmlspecialchars( $var );    // html标记转换
            $result = $var;
        }
        return $result;
    }

---------------------

本文来自 ZYaller 的CSDN 博客 ,全文地址请点击:https://blog.csdn.net/zyb_icanplay7/article/details/17327577?utm_source=copy

weixin_37799190
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web安全性测试用例
weixin_33924220的博客
05-12 2430
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误. 1.   输入验证 客户端验证 服务器端验证(禁用脚本调试,禁用Cookies) 1.输入很大的数(如4,294,967,269),输入很小的数(负数) 2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限制字数时有何反应 3.输入特殊字符,如:~!@#$%^&amp;*()...
防止SQL注入和XSS攻击Filter
06-03
防止SQL注入和XSS攻击Filter
过滤防止sql注入
Ivan
10-23 161
[code="java"] import java.io.IOException; import java.io.UnsupportedEncodingException; import java.util.Enumeration; import java.util.HashMap; import java.util.Map; import java.util.StringTo...
输入/表单提交参数过滤有效防止sql注入方法
luyaran的博客
12-01 2172
输入/表单提交参数过滤防止sql注入非法攻击方法: /** * 过滤sql与php文件操作的关键字 * @param string $string * @return string * @author zyb */ private function filter_keyword( $string ) { $keyword = 'select|inser
防止SQL注入和禁止回车提交表单Javascript代码
nply2008的专栏
11-25 2265
防止SQL注入和禁止回车提交表单Javascript代码http://blog.csdn.net/zuoyefeng_com/archive/2007/05/23/1623368.aspx 防止SQL注入防止SQL注入Javascript代码:function IsValid( oField ) { re= /select|update|delete|exec|count|
获取表单防止注入 子程序
aaa117659928的专栏
09-17 346
&lt;body&gt; &lt;% czkh = Saferequest("czkh",0) czme = Saferequest("czme",0) if czkh = "" or czme = "" then response.write "&lt;script&gt;alert('请填写内容');&lt;/script&gt;" respons
php防止sql注入方法详解
12-18
攻击者在表单字段中插入恶意的SQL语句片段时,这些非法的SQL指令会被服务器执行,可能导致数据泄露、非法权限获取甚至整个数据库的破坏。在PHP环境中,防止SQL注入至关重要,以下是一些有效的防范策略: 1. 使用...
jquery过滤特殊字符’,防sql注入的实现方法
11-22
在本文中,我们将深入探讨如何使用jQuery来过滤特殊字符,以防止SQL注入攻击SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。以下是一个实际的jQuery实现...
jquery过滤特殊字符',防sql注入的实现方法
10-21
在本文中,我们将探讨如何使用jQuery来过滤特殊字符,从而防止SQL注入攻击SQL注入是一种常见的安全漏洞,攻击者可以通过输入恶意的SQL语句来操纵数据库。为了保护应用程序免受此类攻击,我们需要确保用户输入的...
SQL注入 如何防止SQL注入
08-14
SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入
防止sql注入的url过滤
12-30
防止sql注入的url过滤器,这个平时用到过得、觉得不错、所以跟大家分享下、
php防止sql注入示例分析和几种常见攻击正则表达式
12-19
SQL注入是一种常见的网络安全威胁,它允许攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感数据。在PHP中,防止SQL注入是非常重要的。以下是对标题和描述中涉及的知识点的详细说明: 1. **自定义...
基于表单的sql注入
weixin_44574152的博客
07-06 839
前言:题目来源sqli-labs-master第10/11题
提交表单时处理sql注入
weixin_34186128的博客
07-20 293
1 public class AntiSqlInject 2 { 3 public HttpRequest Request; 4 5 public AntiSqlInject(HttpRequest requestPage) 6 { 7 Request = requestPage; ...
浅谈SQL注入和防SQL注入方法
低调中成长
08-06 3619
       所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击.       当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作
PHP表单验证实例预防SQL注入的小经验
u010497465的博客
07-18 406
PHP表单中需引起注重的地方? SERVER[&quot;PHPSELF&quot;]变量有可能会被黑客使用!当黑客使用跨网站脚本的HTTP链接来攻击时,_SERVER[&quot;PHP_SELF&quot;] 变量有可能会被黑客使用! 当黑客使用跨网站脚本的HTTP链接来攻击时,S​ERVER["PHPS​ELF"]变量有可能会被黑客使用!当黑客使用跨网站脚本的...
Web入门 SQL注入 表单含义
Bald__girl的博客
11-26 415
一、表单: 主要负责数据采集,由表单标签、表单域、表单按钮三部分组成。 1、表单标签 功能:用于申明表单,定义采集数据的范围,也就是和里面包含的数据将被提交到服务器或者电子邮件里。 语法:<FORM ACTION="UPL"METHOD=“GET|POST"ENCTYPE=“MIME"TARGET=”…”>… 2、表单域 表单域包含了文本框、多行文本框、密码框、隐藏域、复选框、单选框和...
SQL注入基础四---PHP表单验证
qq_41759633的博客
08-04 227
什么是表单 表单在网页中注意负责数据采集功能。 一个表单有三个基本组成部分 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法. <fomr action="URL" method="GET/POST" enctype="multipart/form-data">` 属性 描述 action URL 表单提交的目的地 met...
Java安全编程:防止SQL注入的代码审计
SQL注入是一种常见的安全漏洞,它发生在程序将未经过滤或验证的用户输入直接用于构建SQL查询语句,导致攻击者可以操控查询结果,甚至执行恶意操作。 **SQL注入攻击的本质** 1. **用户可控输入**: 攻击的前提是用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值