当前位置:Gxlcms > PHP教程 > php防范sql注入的一些代码收集

php防范sql注入的一些代码收集

时间:2021-07-01 10:21:17 帮助过:21人阅读

本文介绍下,在php中,实现sql注入的一些代码,供大家学习参考。

专题推荐:php防止sql注入

防范sql注入的代码:

  1. <!--?php
  2. /**
  3. * 防范sql注入
  4. * edit bbs.it-home.org
  5. */
  6. $_POST = sql_injection($_POST);  
  7. $_GET = sql_injection($_GET);  
  8.   
  9. function sql_injection($content)  
  10. {  
  11. if (!get_magic_quotes_gpc()) {  
  12. if (is_array($content)) {  
  13. foreach ($content as $key=-->$value) {  
  14. $content[$key] = addslashes($value);  
  15. }  
  16. } else {  
  17. addslashes($content);  
  18. }  
  19. }  
  20. return $content;  
  21. }  
  22. ?>

下面这个适合在php oop面向对象的程序中使用:

  1. <!--?php 
  2. /*  
  3. 函数名称:inject_check()  
  4. 函数作用:检测提交的值是不是含有SQL注射的字符  
  5. 参  数:$sql_str: 提交的变量  
  6. 返 回 值:返回检测结果,ture or false  
  7. */   
  8. function inject_check($sql_str) {   
  9. return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str); // 进行过滤  
  10. }  
  11.  
  12. /*  
  13. 函数名称:verify_id()  
  14. 函数作用:校验提交的ID类值是否合法  
  15. 参  数:$id: 提交的ID值  
  16. 返 回 值:返回处理后的ID  
  17. */   
  18. function verify_id($id=null) {   
  19. if (!$id) { exit('没有提交参数!'); } // 是否为空判断   
  20. elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断   
  21. elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断   
  22. $id = intval($id); // 整型化   
  23.   
  24. return $id;   
  25. }   
  26.   
  27. /*  
  28. 函数名称:str_check()  
  29. 函数作用:对提交的字符串进行过滤  
  30. 参  数:$var: 要处理的字符串  
  31. 返 回 值:返回过滤后的字符串  
  32. */   
  33. function str_check( $str ) {   
  34. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开   
  35. $str = addslashes($str); // 进行过滤   
  36. }   
  37. $str = str_replace("_", "\_", $str); // 把 '_'过滤掉   
  38. $str = str_replace("%", "\%", $str); // 把 '%'过滤掉   
  39.   
  40. return $str;   
  41. }   
  42.   
  43. /*  
  44. 函数名称:post_check()  
  45. 函数作用:对提交的编辑内容进行处理  
  46. 参  数:$post: 要提交的内容  
  47. 返 回 值:$post: 返回过滤后的内容  
  48. */   
  49. function post_check($post) {   
  50. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开   
  51. $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤   
  52. }   
  53. $post = str_replace("_", "\_", $post); // 把 '_'过滤掉   
  54. $post = str_replace("%", "\%", $post); // 把 '%'过滤掉   
  55. $post = nl2br($post); // 回车转换   
  56. $post = htmlspecialchars($post); // html标记转换   
  57.   
  58. return $post;   
  59. }   
  60. ?-->

这里,再提供一个代码。 //预防数据库攻击的正确做法:

  1. <!--?php  
  2. function check_input($value)  
  3. {  
  4. // 去除斜杠  
  5. if (get_magic_quotes_gpc())  
  6.   {  
  7.   $value = stripslashes($value);  
  8.   }  
  9. // 如果不是数字则加引号  
  10. if (!is_numeric($value))  
  11.   {  
  12.   $value = "'" . mysql_real_escape_string($value) . "'";  
  13.   }  
  14. return $value;  
  15. }  
  16.   
  17. $con = mysql_connect("localhost", "hello", "321");  
  18. if (!$con)  
  19.   {  
  20.   die('Could not connect: ' . mysql_error());  
  21.   }  
  22.   
  23. // 进行安全的 SQL  
  24. $user = check_input($_POST['user']);  
  25. $pwd = check_input($_POST['pwd']);  
  26. $sql = "SELECT * FROM users WHERE  
  27. user=$user AND password=$pwd";  
  28.   
  29. mysql_query($sql);  
  30.   
  31. mysql_close($con);  
  32. ?-->

注意: mysql_real_escape_string()函数和addslashes()的功能类似。 mysql_real_escape_string()效果更好。 由于 mysql_real_escape_string()函数是必须在mysql连接之后才可以使用的,基于此,建议使用addslashes()函数进行处理。

人气教程排行

本站所有资源全部来源于网络,若本站发布的内容侵害到您的隐私或者利益,请联系我们删除!