首頁 >後端開發 >php教程 >php防止sql注入函數(discuz)

php防止sql注入函數(discuz)

WBOY
WBOY原創
2016-07-25 08:53:161054瀏覽
  1. $magic_quotes_gpc = get_magic_quotes_gpc();

  2. @extract(daddslashes($_COOKIE));
  3. @extract(daddslashes($_POST));
  4. @extract(daddslashes($_GET));
  5. if(!$magic_quotes_gpc) {
  6. $_FILES = daddslashes($_FILES);
  7. }

  8. function daddslashes($string, $force = 0) {

  9. if(!$GLOBALS['magic_quotes_gpc'] || $force) {
  10. if(is_array($string)) {
  11. foreach($string as $key => $val) {
  12. $string[$key] = daddslashes($val, $force);
  13. }
  14. } else {
  15. $string = addslashes($string);
  16. }
  17. }
  18. return $string;
  19. }

复制代码

大家可以增强下面的代码加以保护服务器的安全,PHP防止SQL注入安全函数十分重要!

  1. /*

  2. 函数名称:inject_check()
  3. 函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全
  4. 参  数:$sql_str: 提交的变量 bbs.it-home.org
  5. 返 回 值:返回检测结果,ture or false
  6. */
  7. function inject_check($sql_str) {
  8. return eregi('select|insert|and|or|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str); // 进行过滤
  9. }

  10. /*

  11. 函数名称:verify_id()
  12. 函数作用:校验提交的ID类值是否合法
  13. 参  数:$id: 提交的ID值
  14. 返 回 值:返回处理后的ID
  15. */
  16. function verify_id($id=null) {
  17. if (!$id) { exit('没有提交参数!'); } // 是否为空判断
  18. elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断
  19. elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断
  20. $id = intval($id); // 整型化

  21. return $id;

  22. }

  23. /*

  24. 函数名称:str_check()
  25. 函数作用:对提交的字符串进行过滤
  26. 参  数:$var: 要处理的字符串
  27. 返 回 值:返回过滤后的字符串
  28. */
  29. function str_check( $str ) {
  30. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开
  31. $str = addslashes($str); // 进行过滤
  32. }
  33. $str = str_replace("_", "_", $str); // 把 '_'过滤掉
  34. $str = str_replace("%", "%", $str); // 把 '%'过滤掉

  35. return $str;

  36. }

  37. /*

  38. 函数名称:post_check()
  39. 函数作用:对提交的编辑内容进行处理
  40. 参  数:$post: 要提交的内容
  41. 返 回 值:$post: 返回过滤后的内容
  42. */
  43. function post_check($post) {
  44. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开
  45. $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
  46. }
  47. $post = str_replace("_", "_", $post); // 把 '_'过滤掉
  48. $post = str_replace("%", "%", $post); // 把 '%'过滤掉
  49. $post = nl2br($post); // 回车转换
  50. $post = htmlspecialchars($post); // html标记转换

  51. return $post;

  52. }

复制代码

附,php防止sql注入代码 放到公用调用文件(如conn数据库链接文件),对所有GET或POST的数据进行过滤特殊字符串,以实现简单有效的SQL注入过滤。 代码:

  1. Function inject_check($sql_str) {
  2. return eregi('select|insert|and|or|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str);
  3. }
  4. if (inject_check($_SERVER['QUERY_STRING'])==1 or inject_check(file_get_contents("php://input"))==1){
  5. //echo "警告 非法访问!";
  6. header("Location: Error.php");
  7. }
复制代码


陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn