php防sql,php防sql注入过滤代码

最新推荐文章于 2024-03-07 08:15:00 发布
最新推荐文章于 2024-03-07 08:15:00 发布
阅读量149 收藏
点赞数 1

SQL注入 XSS攻击 安全防护 过滤函数 字符串处理
关键词由CSDN通过智能技术生成

防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。

function filter($str)

{

if (empty($str)) return false;

$str = htmlspecialchars($str);

$str = str_replace( '/', "", $str);

$str = str_replace( '"', "", $str);

$str = str_replace( '(', "", $str);

$str = str_replace( ')', "", $str);

$str = str_replace( 'CR', "", $str);

$str = str_replace( 'ASCII', "", $str);

$str = str_replace( 'ASCII 0x0d', "", $str);

$str = str_replace( 'LF', "", $str);

$str = str_replace( 'ASCII 0x0a', "", $str);

$str = str_replace( ',', "", $str);

$str = str_replace( '%', "", $str);

$str = str_replace( ';', "", $str);

$str = str_replace( 'eval', "", $str);

$str = str_replace( 'open', "", $str);

$str = str_replace( 'sysopen', "", $str);

$str = str_replace( 'system', "", $str);

$str = str_replace( '$', "", $str);

$str = str_replace( "'", "", $str);

$str = str_replace( "'", "", $str);

$str = str_replace( 'ASCII 0x08', "", $str);

$str = str_replace( '"', "", $str);

$str = str_replace( '"', "", $str);

$str = str_replace("", "", $str);

$str = str_replace("&gt", "", $str);

$str = str_replace("&lt", "", $str);

$str = str_replace("

$str = str_replace("", "", $str);

$str = str_replace("

$str = str_replace("", "", $str);

$str = str_replace("select","",$str);

$str = str_replace("join","",$str);

$str = str_replace("union","",$str);

$str = str_replace("where","",$str);

$str = str_replace("insert","",$str);

$str = str_replace("delete","",$str);

$str = str_replace("update","",$str);

$str = str_replace("like","",$str);

$str = str_replace("drop","",$str);

$str = str_replace("DROP","",$str);

$str = str_replace("create","",$str);

$str = str_replace("modify","",$str);

$str = str_replace("rename","",$str);

$str = str_replace("alter","",$str);

$str = str_replace("cas","",$str);

$str = str_replace("&","",$str);

$str = str_replace(">","",$str);

$str = str_replace("

$str = str_replace(" ",chr(32),$str);

$str = str_replace(" ",chr(9),$str);

$str = str_replace("    ",chr(9),$str);

$str = str_replace("&",chr(34),$str);

$str = str_replace("'",chr(39),$str);

$str = str_replace("
",chr(13),$str);

$str = str_replace("''","'",$str);

$str = str_replace("css","'",$str);

$str = str_replace("CSS","'",$str);

$str = str_replace("

weixin_39644713
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
360提供的phpsql注入代码修改类
05-02
总的来说,"360提供的phpsql注入代码修改类"是一个实用的工具,旨在帮助开发者提高PHP应用的安全性,减少SQL注入和HTTP跨站攻击的风险。通过理解并应用这个类,我们可以更好地保护我们的网站和用户数据。在实践中...
php注入和XSS攻击通用过滤
prefertea的博客
10-15 826
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 假定...
php防止xss攻击和sql注入
dw5235的博客
04-08 1219
1、防止xss攻击 1、开启COOKIE_HTTPONLY = true ;//tp3.2 2、default_filter:设置为htmlspecialchars 百度官方方法: 和SQL注入御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免: 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、P...
php 如何sql注入攻击,phpSQL注入攻击与XSS攻击的方法详解
weixin_34312149的博客
03-09 415
本节内容:phpSQL注入攻击与XSS攻击1,SQL注入攻击XSS攻击任意执行代码文件包含以及CSRF.}例子:复制代码 代码示例:mysql_connect("localhost","root","123456")or die("数据库连接失败!");mysql_select_db("test1");$user=$_post['uid'];$pwd=$_POST['pass'];if(mys...
PHP用正则匹配过滤排除或判断不需要的字符,只保留汉字或其它,sql盲注攻击
04-19 671
以,编码为utf-8的,\x{4e00}-\x{9fff}代表utf8编码下的汉字编码范围.,姓名字段只允许提交汉字.其它字符会删除掉.并且字数限制10个字,防止sql注入攻击.二,会员登录合法性判断.会员可能邮箱与手机号等登录。一,比如留言表单输入。
php数据输入sql过滤,PHP安全,防止SQL注入(输入过滤,输出转义)
weixin_26884391的博客
03-18 204
(1)magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理(2)防止对数字值的SQL注入,如用intval()等函数进行处理(3)mysql_real_escape_string( string ) addslashes(string)以上是利用PHP自带函数防止SQL注入下面提供一个例子,是在一个页面实现过滤,然后,需要...
sql注入原理及php注入代码.doc
12-02
SQL注入原理及PHP注入代码 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在用户输入中注入恶意SQL代码来访问或修改敏感数据。防止SQL注入需要了解SQL注入原理和防止SQL注入的方法。 基本概念 PHP中...
PHP简单预sql注入的方法
10-21
PHP防止SQL注入的基本方法是通过对用户输入进行适当的过滤和转义。以下是几种常用的御策略: 1. 使用参数化查询(预处理语句): 参数化查询是防止SQL注入的最有效方法。它将SQL语句和参数分开处理,使得攻击者...
phpSQL注入的一个类
05-04
在IT行业中,SQL注入是一种常见的安全威胁,攻击者通过输入恶意的SQL代码来获取、修改、删除数据库中的敏感数据。为了防止这种情况发生,开发者通常会采用各种御措施,其中之一就是使用PHP类来过滤和验证输入数据...
PHP防止SQL注入的方法
tongluren381的博客
10-20 3779
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
php应对sql注入数据库处理
最新发布
aicsswo的博客
03-07 711
PHP防止SQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。
php防止sql注入的方法
猿男孩的博客
06-20 743
SQL注入漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何SQL注入,首先我们要学习它的原理。针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1310
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php对字符串进行SQL注入过滤
qq_30908729的博客
11-25 1142
php对字符串进行SQL注入过滤   解决方法: 使用str_ireplace方法来实现:http://w​ww.yayihouse.com/yayishuwu/chapter/1711
PHP防止 SQL 注入
weixin_50251467的博客
07-21 589
我们可以将预处理语句与 PDO 一起使用,以防止PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以防止 SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以防止PHP 中进行 SQL 注入。
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 495
防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
php将注释符过滤 如何注入,SQL注入(过滤空格和--+等注释符)
weixin_35995377的博客
04-08 322
1、地址:http://ctf5.shiyanbar.com/web/index_2.php(过滤了空格和--+等注释符)思路:确定注入参数值类型,直接输入单引号,根据报错信息确定参数值类型为字符型,如下图所示。2、正常思路输入‘ or ‘1‘=‘1,直接报错,信息为SQLi detected!,首先猜测or被过滤,直接去掉or,继续输入‘ ‘1‘=‘1,仍然报错,信息为SQLi detected...
PHP代码审计:SQL注入漏洞分析
"这篇教程主要介绍了PHP代码审计中的SQL注入问题,包括普通注入和宽字节注入的案例分析,以及涉及的函数如str_replace、stripslashes和addslashes在防止SQL注入中的作用。" 在Web开发中,SQL注入是一种常见的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值