首頁 >php教程 >php手册 >完美的php防sql注入代码

完美的php防sql注入代码

PHPz
PHPz原創
2016-06-13 10:12:166432瀏覽

一款比较完美的php防sql注入代码,很多初学者都有被sql注入的经验吧,今天我们来分享你一款比较完整的sql防注入代码,有需要的同学可以参考一下:

<? 
 /************************* 
 说明: 
 判断传递的变量中是否含有非法字符 
  
如$_POST、$_GET 
 功能: 
 防注入 
 *************************/
 //要过滤的非法字符 
 $ArrFiltrate=array("&#39;","or","and","union","where"); 
 //出错后要跳转的url,不填则默认前一页 
 $StrGoUrl=""; 
 //是否存在数组中的值 
 function FunStringExist($StrFiltrate,$ArrFiltrate){ 
 foreach ($ArrFiltrate as $key=>$value){ 
 if (eregi($value,$StrFiltrate)){ 
   return true; 
 } 
 } 
 return false; 
 } 
 //合并$_POST 和 $_GET 
 if(function_exists(array_merge)){ 
 $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); 
 }else{ 
 foreach($HTTP_POST_VARS as $key=>$value){ 
 $ArrPostAndGet[]=$value; 
 } 
 foreach($HTTP_GET_VARS as $key=>$value){ 
 $ArrPostAndGet[]=$value; 
 } 
 } 
 //验证开始 
 foreach($ArrPostAndGet as $key=>$value){ 
 if (FunStringExist($value,$ArrFiltrate)){ 
 echo "<script language=&#39;javascript&#39;>alert(&#39;传递的信息中不得包含{&#39;,or,and,union}等非法字符请您把他们换成{&lsquo;,OR,AND,UNION}&#39;);</script>"; 
 if (empty($StrGoUrl)){ 
 echo "<script language=&#39;javascript&#39;>history.go(-1);</script>"; 
 }else{ 
 echo "<script language=&#39;javascript&#39;>window.location=&#39;".$StrGoUrl."&#39;;</script>"; 
 } 
 exit; 
 } 
 } 
 /***************结束防止PHP注入*****************/
 ?>



陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn