recherche

Maison  >  Article  >  développement back-end  >  php防止sql注入函数(discuz)

php防止sql注入函数(discuz)

WBOY
WBOYoriginal
2016-07-25 08:53:161030parcourir

  3. $magic_quotes_gpc = get_magic_quotes_gpc();

  4. @extract(daddslashes($_COOKIE));
  5. @extract(daddslashes($_POST));
  6. @extract(daddslashes($_GET));
  7. if(!$magic_quotes_gpc) {
  8. $_FILES = daddslashes($_FILES);
  9. }

  10. function daddslashes($string, $force = 0) {

  11. if(!$GLOBALS['magic_quotes_gpc'] || $force) {
  12. if(is_array($string)) {
  13. foreach($string as $key => $val) {
  14. $string[$key] = daddslashes($val, $force);
  15. }
  16. } else {
  17. $string = addslashes($string);
  18. }
  19. }
  20. return $string;
  21. }
复制代码

大家可以增强下面的代码加以保护服务器的安全,PHP防止SQL注入安全函数十分重要!

  3. /*

  4. 函数名称:inject_check()
  5. 函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全
  6. 参  数:$sql_str: 提交的变量 bbs.it-home.org
  7. 返 回 值:返回检测结果,ture or false
  8. */
  9. function inject_check($sql_str) {
  10. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤
  11. }

  12. /*

  13. 函数名称:verify_id()
  14. 函数作用:校验提交的ID类值是否合法
  15. 参  数:$id: 提交的ID值
  16. 返 回 值:返回处理后的ID
  17. */
  18. function verify_id($id=null) {
  19. if (!$id) { exit('没有提交参数!'); } // 是否为空判断
  20. elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断
  21. elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断
  22. $id = intval($id); // 整型化

  23. return $id;

  24. }

  25. /*

  26. 函数名称:str_check()
  27. 函数作用:对提交的字符串进行过滤
  28. 参  数:$var: 要处理的字符串
  29. 返 回 值:返回过滤后的字符串
  30. */
  31. function str_check( $str ) {
  32. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开
  33. $str = addslashes($str); // 进行过滤
  34. }
  35. $str = str_replace("_", "\_", $str); // 把 '_'过滤掉
  36. $str = str_replace("%", "\%", $str); // 把 '%'过滤掉

  37. return $str;

  38. }

  39. /*

  40. 函数名称:post_check()
  41. 函数作用:对提交的编辑内容进行处理
  42. 参  数:$post: 要提交的内容
  43. 返 回 值:$post: 返回过滤后的内容
  44. */
  45. function post_check($post) {
  46. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开
  47. $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
  48. }
  49. $post = str_replace("_", "\_", $post); // 把 '_'过滤掉
  50. $post = str_replace("%", "\%", $post); // 把 '%'过滤掉
  51. $post = nl2br($post); // 回车转换
  52. $post = htmlspecialchars($post); // html标记转换

  53. return $post;

  54. }
复制代码

附,php防止sql注入代码 放到公用调用文件(如conn数据库链接文件),对所有GET或POST的数据进行过滤特殊字符串,以实现简单有效的SQL注入过滤。 代码:

  2. Function inject_check($sql_str) {
  3. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
  4. }
  5. if (inject_check($_SERVER['QUERY_STRING'])==1 or inject_check(file_get_contents("php://input"))==1){
  6. //echo "警告 非法访问!";
  7. header("Location: Error.php");
  8. }
复制代码


Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:PHP生成柱状图实例代码 Article suivant:PHP加速器eAccelerator配置使用指南

Articles Liés

Voir plus