injectcheck php_php简单实现sql防注入的方法

最新推荐文章于 2021-01-13 06:44:28 发布
最新推荐文章于 2021-01-13 06:44:28 发布
阅读量86 收藏
点赞数
文章标签: injectcheck php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39807691/article/details/111814475
版权

本文实例讲述了php简单实现sql防注入的方法。分享给大家供大家参考,具体如下:

这里没有太多的过滤,主要是针对php和mysql的组合。

一般性的防注入,只要使用php的 addslashes 函数就可以了。

以下是一段copy来的代码:

PHP代码:

$_POST = sql_injection($_POST);

$_GET = sql_injection($_GET);

function sql_injection($content)

{

if (!get_magic_quotes_gpc()) {

if (is_array($content)) {

foreach ($content as $key=>$value) {

$content[$key] = addslashes($value);

}

} else {

addslashes($content);

}

}

return $content;

}

做系统的话,可以用下面的代码,也是copy来的。

PHP代码:

function inject_check($sql_str) {

return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤

}

function verify_id($id=null) {

if (!$id) { exit('没有提交参数!'); } // 是否为空判断

elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断

elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断

$id = intval($id); // 整型化

return $id;

}

function str_check( $str ) {

if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开

$str = addslashes($str); // 进行过滤

}

$str = str_replace("_", "\_", $str); // 把 '_'过滤掉

$str = str_replace("%", "\%", $str); // 把 '%'过滤掉

return $str;

}

function post_check($post) {

if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开

$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤

}

$post = str_replace("_", "\_", $post); // 把 '_'过滤掉

$post = str_replace("%", "\%", $post); // 把 '%'过滤掉

$post = nl2br($post); // 回车转换

$post = htmlspecialchars($post); // html标记转换

return $post;

}

希望本文所述对大家PHP程序设计有所帮助。

weixin_39807691
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php简单实现sql注入方法
12-18
本文实例讲述了php简单实现sql注入方法。分享给大家供大家参考,具体如下: 这里没有太多的过滤,主要是针对php和mysql的组合。 一般性的注入,只要使用php的 addslashes 函数就可以了。 以下是一段copy来的...
php防止注入工具的函数,PHP的一些注入函数
weixin_34207865的博客
03-10 277
PHP的一些注入函数[codes=php]/*函数名称:inject_check()函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全参  数:$sql_str: 提交的变量返 回 值:返回检测结果,ture or false*/function inject_check($sql_str) {return eregi('select|insert|update|dele...
injectcheck php_PHP安全最大化
weixin_39725365的博客
12-22 313
在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很多,至少比asp少多了,呵呵,于是就想写点东西,来防止这些可能出现的情况。这里没有太深的技术含量,我只是比较简单的谈了谈。(以下操作如无具体说明,都是基于PHP+MySQL+Apache的情况)上面文章是安全焦点上的关于PHP安全的文章,基本上比较全面的介绍了关...
[SQL]SQL注入-ASP漏洞全接触--高级篇
11-23 1517
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子
injectcheck php_php注入
weixin_33260887的博客
01-13 144
/**通用注入* add by wangbin,2011-07-10* email:[email protected]*/function inject_check($str){$tmp=preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/', $str); /...
injectcheck php_external/plugins/check_inject/main.plugin.php · water176142735/ECMOS - Gitee.com
weixin_39687189的博客
12-22 85
/*** 店铺地址简写插件** @return array*/class Check_injectPlugin extends BasePlugin {function execute() {if (defined('IN_BACKEND') && IN_BACKEND === true) {return; // 后台无需执行} else {$inject_flag = $thi...
php中$_GET与$_POST过滤sql注入方法
10-25
主要介绍了php中$_GET与$_POST过滤sql注入方法,包含了addslashes_deep函数与数组的操作方法,是非常具有实用价值的技巧,需要的朋友可以参考下
sql.rar_SQL注入_asp 注入_sql注入_
09-22
SQL注入代码,禁止黑客非法注入和用暴力破角访问
PHP中的代码安全和SQL Injection
heiyeluren的blog(黑夜路人的开源世界)
06-14 8738
PHP中的代码安全和SQL Injection范注意: 本文已经发表在2005年4月的杂志上, 请勿转载。/************************* * 作者:heiyeluren * QQ:37035600  * Email:[email protected] *************************/在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器
injectcheck php_php防止sql注入的解决方法总结
weixin_39957318的博客
12-22 113
sql注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。为了防止SQL注入攻击,PHP自带一些函数可以对输入的字符串进行处理,例如PHP的MySQL操作函数中有addslashes()、mysql_real_escape_strin...
防止SQL注放的函数
经验在于积累而不在于年限---dreamboycx
11-29 387
function inject_check($sql_str) {   $check = eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file |outfile', $sql_str);     // 进行过滤 if($check){ echo "输入了非法内容"; exit(); }else
两种不同版本的注入函数
x163326的专栏
09-23 668
//**************   注入函数 function inject_check($sql_str) {       $check=eregi('and|or|where|limit|group by|select|insert|update|delete|\'|\\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$sql_str);
PHP注入的最简单函数
weixin_33898233的博客
05-29 92
$_POST = sql_injection($_POST);$_GET = sql_injection($_GET);function sql_injection($content){if (!get_magic_quotes_gpc()) {if (is_array($content)) {foreach ($content as $key=>$value) {$content[$key...
通用的PHP注入漏洞攻击的过滤函数代码
x163326的专栏
10-22 2091
转自:http://www.q3060.com/list3/list117/17015.html //PHP整站注入程序,需要在公共文件中require_once本文件  //判断magic_quotes_gpc状态  if (@get_magic_quotes_gpc ()) {  $_GET = sec ( $_GET );  $_POST = sec ( $_POST ); 
PHP注入与伪静态
树蛙PHPER
03-24 2393
<br />PHP注入话不多说直接看代码<br />PHP注入,主要是为了防止恶意写入后台数据库; //注入函数 function inject_check($sql_str){ $check=eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file |outfile', $sql_str); if($check){ echo "输入非法内容"; exit(); }else{
discuz的php防止sql注入函数
web开发
08-31 173
代码如下: $magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)); @extract(daddslashes($_POST)); @extract(daddslashes($_GET)); if(!$magic_quotes_gpc) { $_FILES = daddslash...
php防止sql注入攻击
大鱼人不能忍烫金竹纤维短袖
01-17 766
(1)mysql_real_escape_string -- 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集  使用方法如下: $sql = "select count(*) as ctr from users where username='".mysql_real_escape_string($username)."' and password='". my
一些sql注入式攻击的比较有见地的代码(PHP
gayayzy的专栏
08-31 1455
$_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($content as $key=>$value) { $cont
nodejs实现sql注入
最新发布
03-20
可以使用参数化查询来防止 SQL 注入攻击。在 Node.js 中,可以使用 mysql 模块来实现参数化查询。以下是一个示例代码: ```javascript const mysql = require('mysql'); const connection = mysql.createConnection({ host: 'localhost', user: 'root', password: 'password', database: 'mydb' }); const username = 'admin'; const password = 'password123'; const sql = 'SELECT * FROM users WHERE username = ? AND password = ?'; const values = [username, password]; connection.query(sql, values, (error, results, fields) => { if (error) throw error; console.log(results); }); connection.end(); ``` 在上面的代码中,我们使用了参数化查询来查询用户名和密码是否匹配。注意,我们在 SQL 查询中使用了占位符 `?` 来代替变量,然后将变量的值存储在一个数组中,传递给 `connection.query()` 方法。这样可以防止 SQL 注入攻击,因为任何恶意的 SQL 代码都会被当作字符串来处理,而不是被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值