ホームページ  >  記事  >  バックエンド開発  >  PHP で SQL インジェクションを防ぐいくつかの方法

PHP で SQL インジェクションを防ぐいくつかの方法

WBOY
WBOYオリジナル
2016-07-25 09:03:42973ブラウズ
  1. /**
  2. * SQL インジェクションを防止します
  3. * @author: test@jbxue.com
  4. **/
  5. /**
  6. * SQL インジェクションを拒否します
  7. */
  8. if (!function_exists (quote))
  9. {
  10. function quote($var)
  11. {
  12. if ( strlen($var))
  13. {
  14. $var=!get_magic_quotes_gpc() ? $var :tripslashes($var);
  15. $var = str_replace("'","'",$var);
  16. }
  17. return "'$var'";
  18. }
  19. }
  20. if (!function_exists (hash_num) ){
  21. 関数 hash_num($input)
  22. {
  23. $hash = 5381;
  24. for ($i = 0; $i < strlen($str); $i++)
  25. {
  26. $c = ord($str{$ i});
  27. $hash = (($hash <<5) + $hash) + $c;
  28. }
  29. return $hash;
  30. }
  31. }
  32. ?>
复制代

测试:

  1. /**
  2. * 防御sql测试代码
  3. CREATE TABLE IF NOT EXISTS `tb` (
  4. `id` int(10) unsigned NOT NULL auto_increment,
  5. `age` tinyint(3) unsigned NOT NULL,
  6. `name` char(100) NOT NULL、
  7. `note` テキスト NOT NULL、
  8. 主キー (`id`)
  9. ) ENGINE=MyISAM DEFAULT CHARSET=utf8 ;
  10. **/
  11. include_once('common.php');
  12. var_dump(hash_num('dddd'));
  13. if(empty($_GET))
  14. {
  15. $_GET = array('age'=>'99','name'=>'a'b\'c";','note'=>"a'b'nC#");
  16. }
  17. $age = (int)$_GET['age'];
  18. $name = quote($_GET['name']);
  19. $note = quote($_GET['note']);
  20. $sql = "INSERT INTO `tb` ( `age`, `name`, `note`) VALUES
  21. ( $age, $name, $note)";
  22. var_dump($sql);
  23. ?>
复制發

#---------------------- 方法2:

  1. $magic_quotes_gpc = get_magic_quotes_gpc();

  2. @extract(daddslashes($_COOKIE));
  3. @extract(daddslashes($_POST))まつげ($_GET));
  4. if(!$magic_quotes_gpc) {
  5. $_FILES = kiddslashes($_FILES);
  6. }

  7. function kiddslashes($string, $force = 0) {

  8. if (!$GLOBALS['magic_quotes_gpc'] || $force) {
  9. if(is_array($string)) {
  10. foreach($string as $key => $val) {
  11. $string[$key] = godslashes( $val, $force);
  12. }
  13. } else {
  14. $string =addlashes($string);
  15. }
  16. }
  17. return $string;
  18. }
  19. ?

复制代
方法3:

    function inject_check($sql_str) { // 注入防止
  1. $check = eregi('select|insert|update|delete|'|/*|*|../|./ |union|into|load_file|outfile', $sql_str);
  2. if ($check) {
  3. echo "输入非法内容注入!";
  4. exit ();
  5. } else {
  6. return $sql_str;
  7. }
  8. }
  9. function checkurl() { //检查来路
  10. if (preg_replace("/https教程?://([^:/]+).*/i", "1", $_server['http_referer']) ! == preg_replace("/([^:]+).*/", "1", $_server['http_host'])) {
  11. header("location: http://s.jbxue.com");
  12. exit();
  13. }
  14. }
  15. //调用
  16. checkurl();
  17. $str = $_get['url'];
  18. inject_check($sql_str);//この条は获取パラメータ時に操作を実行できます
复制幣
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。