php mysql防注入字符串过滤_php 过滤特殊字符及sql防注入代码

最新推荐文章于 2024-08-22 10:09:18 发布
最新推荐文章于 2024-08-22 10:09:18 发布
阅读量118 收藏
点赞数
文章标签: php mysql防注入字符串过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39567013/article/details/113298214
版权
本文介绍了三种防止SQL注入的PHP方法。方法一使用addslashes()函数对SQL语句进行转义;方法二通过strip_tags()去除HTML标签;方法三提供了一个正则表达式过滤可能的恶意代码。此外,还展示了一个名为sqlin的类,该类包含了对GET和POST数据的预处理,以替换SQL关键字为空,防止注入攻击。请注意,在特定场景下,如留言本,需要调整关键字替换规则以确保正常功能。
摘要由CSDN通过智能技术生成

//方法一

//过滤',",sql语名

addslashes();

//方法二,去除所有html标签

strip_tags();

//方法三过滤可能产生代码

function php_sava($str)

{

$farr = array(

"/s /",

"/]*?)>/isU",

"/(]*)on[a-zA-Z] s*=([^>]*>)/isU",

);

$tarr = array(

" ",

"<\1\2\3>", //如果要直接清除不安全的标签,这里可以留空

"\1\2",

);

$str = preg_replace( $farr,$tarr,$str);

return $str;

}

//php sql防注入代码

class sqlin

{

//dowith_sql($value)

function dowith_sql($str)

{

$str = str_replace("and","",$str);

$str = str_replace("execute","",$str);

$str = str_replace("update","",$str);

$str = str_replace("count","",$str);

$str = str_replace("chr","",$str);

$str = str_replace("mid","",$str);

$str = str_replace("master","",$str);

$str = str_replace("truncate","",$str);

$str = str_replace("char","",$str);

$str = str_replace("declare","",$str);

$str = str_replace("select","",$str);

$str = str_replace("create","",$str);

$str = str_replace("delete","",$str);

$str = str_replace("insert","",$str);

$str = str_replace("'","",$str);

$str = str_replace(""","",$str);

$str = str_replace(" ","",$str);

$str = str_replace("or","",$str);

$str = str_replace("=","",$str);

$str = str_replace(" ","",$str);

//echo $str;

return $str;

}

//aticle()防SQL注入函数//php教程

function sqlin()

{

foreach ($_GET as $key=>$value)

{

$_GET[$key]=$this->dowith_sql($value);

}

foreach ($_POST as $key=>$value)

{

$_POST[$key]=$this->dowith_sql($value);

}

}

}

$dbsql=new sqlin();

?>

===================================================================================

使用方式:

将以上代码复制新建一个sqlin.php的文件,然后包含在有GET或者POST数据接收的页面

原理:

将所有的SQL关键字替换为空

本代码在留言本中不能使用,若要在留言本中使用请替换其中的

.......

$str = str_replace("and","",$str);

$str = str_replace(" ","",$str);

...

的代码为:

$str = str_replace("and","and",$str);

$str = str_replace("execute","execute",$str);

$str = str_replace("update","update",$str);

$str = str_replace("count","count",$str);

$str = str_replace("chr","chr",$str);

$str = str_replace("mid","mid",$str);

$str = str_replace("master","master",$str);

$str = str_replace("truncate","truncate",$str);

$str = str_replace("char","char",$str);

$str = str_replace("declare","declare",$str);

$str = str_replace("select","select",$str);

$str = str_replace("create","create",$str);

$str = str_replace("delete","delete",$str);

$str = str_replace("insert","insert",$str);

$str = str_replace("'","'",$str);

$str = str_replace(""",""",$str);

weixin_39567013
关注
php过滤提交数据 sql注入攻击无标题笔记
09-30 393
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
phpSQL注入的方法[转载]
zhonglijunyi的专栏
01-21 513
phpSQL注入的方法 原文地址:http://daybook.diandian.com/post/2011-09-16/5079753 【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置ph
PHP 安全:如何PHP中的SQL注入?_php sql注入
最新发布
heike_Ch的博客
08-22 1124
SQL注入护对于确保数据库的安全性和完整性至关重要。它涉及实施有效措施来阻止将未经授权的 SQL 代码注入应用程序的恶意尝试。开发人员可以利用输入验证和参数化查询等技术来清理用户输入,确保任何潜在的恶意代码都无害。此外,使用预准备语句和存储过程可以通过将数据与可执行代码分离来进一步增强安全性。定期进行安全审计和更新补丁漏洞对于保持主动SQL 注入攻击至关重要。在开发与数据库交互的 Web 应用程序时,SQL 注入至关重要。
phpsql注入
代码路上
07-12 1031
一个优秀的PHP程序员除了要能顺利的编写代码,还需要具备使程序处于安全环境下的能力。今天我们要向大家讲解的是有关PHPSQL注入的相关方法。 PHP Date()出现错误的具体解决办法PHP应用发展的详细分析为你详细讲解PHP重定向代码的具体实现功正确理解PHP转义的真正含义PHP万能密码的实际作用分析 说到网站安全就不得不提到SQL注入SQL Injection),如果你用
php7 mysql 字符过滤_PHP简单字符串过滤方法示例
weixin_30166291的博客
01-30 162
本文实例讲述了PHP简单字符串过滤方法。分享给大家供大家参考,具体如下:PHP字符串过滤方法function strFilter($str){//特殊字符过滤方法$str = str_replace('`', '', $str);$str = str_replace('·', '', $str);$str = str_replace('~', '', $str);$str = str_repl...
php mysql入库过滤,过滤SQL关键字mysql入库字段过滤
weixin_39846361的博客
03-23 277
/***过滤SQL关键字mysql入库字段过滤*@param$val要过滤字符串*@returnmixed*/functionsql_replace($val){$val=str_replace(“\t”,'',$val);$val=str_replace(“%20”,'',$val);$val=str_replace(“%27”,...
php中$_GET与$_POST过滤sql注入的方法
10-25
例如,在SQL语句中单引号(')用于定义字符串的开始和结束,因此通过addslashes转义后的字符串就可以避免由于单引号引起的SQL注入问题。然而,addslashes()并不是一种完美的过滤方法,因为它不能御所有类型的SQL注入...
止xss和sql注入:JS特殊字符过滤正则
10-27
总结起来,止XSS和SQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证和安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
10-20
mysql_real_escape_string函数是PHP中的一个函数,用于转义SQL语句中使用的字符串中的特殊字符。它的作用主要是止恶意用户通过输入的特殊字符SQL语句进行篡改,导致SQL注入攻击。需要注意的是,mysql_real_...
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric (mixed $var)如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。二、函数是否安全接下来...
php mysql 过滤_17. PHP+Mysql注入护与绕过
weixin_35278121的博客
01-19 296
黑名单关键字过滤与绕过过滤关键字and、orPHP匹配函数代码如下:preg_match('/(and|or)/i', $id)如何Bypass,过滤注入测试语句:1 or 1 = 1 1 and 1 = 1测试方法可以替换为如下语句测试:1 || 1 = 1 1 && 1 = 1过滤关键字and, or, unionP...
php mysql注入字符串过滤_两段简单的PHPSQL注入代码
weixin_39925813的博客
02-08 180
介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include("/safe.php");即可:php注入代码方法一://要过滤的非法字符$ArrFiltrate=array("‘",";","union");//出错后要跳转的url,不填则默认前一页$StrGoUrl="";//是否存在数组中的值function FunStringExist($...
php+sql+注入正则表达式,SQL注入
weixin_39759441的博客
03-20 365
目标:编写动态的SQL查询动态查询即是指将变量放到语句中,将固定的字符串和变量拼接在一起,组成一个完整的SQL查询语句,由于变量的值是动态变化的,因此查询也是动态的。编写这样的能够执行的动态的查询语句是十分自然的,也非常方便。但是,不经思考的加入也会带来很大的安全隐患。例如这样的一个查询:SELECT × FROM Bugs WHERE bug_id = $bug_id";如果这个时候$bug_i...
PHPPHP MySQL Where过滤记录
weixin_43731793的博客
06-06 607
1、PHP MySQL Where过滤记录代码 <?php $servername = "localhost"; $username = "root"; $password = "123456"; $dbname = "mydb"; // 创建连接 $con=mysqli_connect($servername,$username,$password,$dbname); if (my...
php应对sql注入数据库处理
aicsswo的博客
03-07 831
PHPSQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。
php操作mysqlsql注入
chuaiyuan6611的博客
06-02 379
本文将从sql注入风险说起,并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别,提供最好的注入方法? 当一个变量从表单传入到php,需要查询mysql的话,需要进行处理。 举例: $uns...
044-WEB攻-PHP应用&SQL盲注&布尔回显&延时判断&报错处理&增删改查方式
wushangyu32335的博客
02-26 1588
2023小迪安全笔记
php mysql过滤特殊字符_PHP 过滤表单提交特殊字符注入)_PHP教程
weixin_39629467的博客
01-28 459
本文章来给大家总结一下在php中常用的一些php注入,sql注入的一些方法介绍,在php中提供了htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string等几个函数,有需要了解的朋友可参考。下面针对常用表单特殊字符处理进行总结:测试字符串代码如下复制代码$dbstr=’D:testhttp://www...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值