php mysql防注入字符串过滤_两段简单的PHP防SQL注入代码

最新推荐文章于 2023-12-13 23:08:10 发布
最新推荐文章于 2023-12-13 23:08:10 发布
阅读量138 收藏
点赞数
文章标签: php mysql防注入字符串过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39925813/article/details/113959200
版权

介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include("/safe.php");即可:

php防注入代码方法一:

//要过滤的非法字符

$ArrFiltrate=array("‘",";","union");

//出错后要跳转的url,不填则默认前一页

$StrGoUrl="";

//是否存在数组中的值

function FunStringExist($StrFiltrate,$ArrFiltrate)

{

foreach ($ArrFiltrate as $key=>$value)

{

if (eregi($value,$StrFiltrate))

{

return true;

}

}

return false;

}

//合并$_POST 和 $_GET

if(function_exists(array_merge))

{

$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}

else

{

foreach($HTTP_POST_VARS as $key=>$value)

{

$ArrPostAndGet[]=$value;

}

foreach($HTTP_GET_VARS as $key=>$value)

{

$ArrPostAndGet[]=$value;

}

}

//验证开始

foreach($ArrPostAndGet as $key=>$value)

{

if (FunStringExist($value,$ArrFiltrate))

{

echo "";

if (emptyempty($StrGoUrl))

{

echo "";

}

else

{

echo "";

}

exit;

}

}

?>

php防注入代码方法二:

/* 过滤所有GET过来变量 */

foreach ($_GET as $get_key=>$get_var)

{

if (is_numeric($get_var)) {

$get[strtolower($get_key)] = get_int($get_var);

} else {

$get[strtolower($get_key)] = get_str($get_var);

}

}

/* 过滤所有POST过来的变量 */

foreach ($_POST as $post_key=>$post_var)

{

if (is_numeric($post_var))

{

$post[strtolower($post_key)] = get_int($post_var);

}

else

{

$post[strtolower($post_key)] = get_str($post_var);

}

}

/* 过滤函数 */

//整型过滤函数

function get_int($number)

{

return intval($number);

}

//字符串型过滤函数

function get_str($string)

{

if (!get_magic_quotes_gpc())

{

return addslashes($string);

}

return $string;

}

?>

weixin_39925813
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击的相关资料,需要的朋友可以参考下
PHP使用PDO实现mysql注入功能详解
10-15
主要介绍了PHP使用PDO实现mysql注入功能,结合实例形式详细分析了PHP使用pdo操作mysql注入原理、实现方法及相关注意事项,需要的朋友可以参考下
php 字符串注入,php 字符过滤sql注入
weixin_42510317的博客
03-09 251
Filter,它的作用就和他的名字一样——过滤过滤规则成为过滤器,Filter内置了多个常用过滤器,根据过滤器功能的不同,可以分成净化过滤器(Sanitization)和验证过滤器(Validation)两种。两种的差别在于,净化过滤器会把被过滤的变量中不符合规则的东西清除掉,返回清除后的内容;而验证过滤器只是验证的功能,并不会去改变变量的值,如果符合过滤器的规则,则返回变量内容,否则返回fal...
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 479
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
php过滤提交数据 sql注入攻击无标题笔记
09-30 370
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
php+sql+注入正则表达式,SQL注入
weixin_39759441的博客
03-20 348
目标:编写动态的SQL查询动态查询即是指将变量放到语句中,将固定的字符串和变量拼接在一起,组成一个完整的SQL查询语句,由于变量的值是动态变化的,因此查询也是动态的。编写这样的能够执行的动态的查询语句是十分自然的,也非常方便。但是,不经思考的加入也会带来很大的安全隐患。例如这样的一个查询:SELECT × FROM Bugs WHERE bug_id = $bug_id";如果这个时候$bug_i...
phpsql注入
代码路上
07-12 1003
一个优秀的PHP程序员除了要能顺利的编写代码,还需要具备使程序处于安全环境下的能力。今天我们要向大家讲解的是有关PHPSQL注入的相关方法。 PHP Date()出现错误的具体解决办法PHP应用发展的详细分析为你详细讲解PHP重定向代码的具体实现功正确理解PHP转义的真正含义PHP万能密码的实际作用分析 说到网站安全就不得不提到SQL注入SQL Injection),如果你用
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric (mixed $var)如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。二、函数是否安全接下来...
PHP+mysqlSQL注入的方法小结
10-17
主要介绍了PHP+mysqlSQL注入的方法,结合实例形式总结分析了php+mysql程序设计中SQL注入的原理与相应的解决方法,需要的朋友可以参考下
php mysql注入字符串过滤_php 过滤特殊字符及sql注入代码
weixin_39567013的博客
01-20 94
//方法一//过滤',",sql语名addslashes();//方法二,去除所有html标签strip_tags();//方法三过滤可能产生代码function php_sava($str){$farr = array("/s /","/]*?)>/isU","/(]*)on[a-zA-Z] s*=([^>]*>)/isU",);$tarr = array(" ","<\1\2...
phpSQL注入的方法[转载]
zhonglijunyi的专栏
01-21 500
phpSQL注入的方法 原文地址:http://daybook.diandian.com/post/2011-09-16/5079753 【一、在服务器端配置】        安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置ph
php mysql 过滤_17. PHP+Mysql注入护与绕过
weixin_35278121的博客
01-19 270
黑名单关键字过滤与绕过过滤关键字and、orPHP匹配函数代码如下:preg_match('/(and|or)/i', $id)如何Bypass,过滤注入测试语句:1 or 1 = 1 1 and 1 = 1测试方法可以替换为如下语句测试:1 || 1 = 1 1 && 1 = 1过滤关键字and, or, unionP...
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2353
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
PHP常见的SQL注入方法
weixin_43741253的博客
09-22 2319
安全性很重要,也可以看出一个人基本功,项目漏洞百出,扩展性和可维护性再好也没有用。平时多留意,树立安全意识,养成一种习惯,一些基本的安全当然也不会占用 coding 的时间。养成这个习惯,即便在项目急,时间短的情况下,依然可以做的质量很高,不要等到自己以后负责的东西,数据库都被拿走了,造成损失才重视。虽然国内很多PHP程序员仍在依靠addslashesSQL注入,还是建议大家加强中文SQL注入的检查。
php中的sql注入
ocean2017的博客
03-17 1309
addslashes 函数并不能转义所有可能引起 SQL 注入的字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
PHP+Mysql注入护与绕过
hl1293348082的专栏
04-04 325
今天给大家分享一个关于php常见的注入护以及如何bypass的文章,文章内容来源国外某大佬总结,我做了一下整理,文章来源地址不详,下面正文开始。以下的方式也仅仅是针对黑名单的过滤有一定的效果,为了安全最好还是以白名单的方式对参数进行检测。 黑名单关键字过滤与绕过 过滤关键字and、or PHP匹配函数代码如下: preg_match('/(and|or)/i', $id) 如何Bypass,过滤注入测试语句: 1 or 1 = 1 1 and 1 = 1 ...
带你搞懂PHP对象注入详细教程
我的博客,不一样的自我表达
04-17 376
不过需要注意的是,利用场景不限于magic函数,也有一些方式可以在一半的函数中利用这个漏洞,打个比方,一个模块可能定义了一个叫get的函数进行一些敏感的操作,比如访问数据库,这就可能造成sql注入,取决于函数本身的操作。你可以看到,我们创建了一个对象,序列化了它(然后__sleep被调用),之后用序列化对象重建后的对象创建了另一个对象,接着php脚本结束的时候两个对象的__destruct都会被调用。事实上,利用这玩意的可能性有很多种,关键取决于应用程序的流程与,可用的类,与magic函数。
PHP中如何SQL注入攻击?
周祥平程序专栏
12-13 597
SQL 注入攻击是 Web 应用程序安全性的一个关键方面。综合以上措施,可以有效提高 PHP 应用程序抵御 SQL 注入攻击的能力。
PHPSQL 注入
weixin_50251467的博客
07-21 541
我们可以将预处理语句与 PDO 一起使用,以止在 PHP 中进行 SQL 注入。在这种方法中,我们没有在 SQL 语句中指定数据的确切值。这样,我们在第一个请求时发送程序,在第二个请求中发送数据。如果我们要求将数据与 SQL 代码一起使用,则用户可以更改程序并编写恶意代码。如果我们没有正确设置 PDO 属性,则在 PDO 中使用预处理语句可能不足以SQL 注入。,则 PDO 将仅模拟准备好的语句,而不使用它们。语句与参数化查询一起使用,以止在 PHP 中进行 SQL 注入
360 phpsql注入代码
最新发布
02-05
为了SQL注入攻击,我们可以采取以下措施来保护我们的PHP代码。 1. 使用预处理语句:使用预处理语句可以SQL注入攻击。可以使用PDO(PHP Data Objects)或者MySQLi(MySQL Improved)扩展来执行预处理语句。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值