时时商务社区

标题: 输入值/表单提交参数过滤有效防止sql注入的方法 [打印本页]

作者: bewin83 时间: 2018-2-14 06:01

         输入值/表单提交参数过滤，防止sql注入或非法攻击的方法：
[U]复制代码[/U] 代码如下:
/**
* 过滤sql与php文件操作的关键字
* @param string $string
* @return string
* @author zyb
*/
private function filter_keyword( $string ) {
$keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
$arr = explode( '|', $keyword );
$result = str_ireplace( $arr, '', $string );
return $result;
}
/**
* 检查输入的数字是否合法，合法返回对应id，否则返回false
* @param integer $id
* @return mixed
* @author zyb
*/
protected function check_id( $id ) {
$result = false;
if ( $id !== '' && !is_null( $id ) ) {
$var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字
if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
$result = intval( $var );
}
}
return $result;
}
/**
* 检查输入的字符是否合法，合法返回对应id，否则返回false
* @param string $string
* @return mixed
* @author zyb
*/
protected function check_str( $string ) {
$result = false;
$var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字
if ( !empty( $var ) ) {
if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开
$var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
//$var = str_replace( "_", "\_", $var ); // 把 '_'过滤掉
$var = str_replace( "%", "\%", $var ); // 把 '%'过滤掉
$var = nl2br( $var ); // 回车转换
$var = htmlspecialchars( $var ); // html标记转换
$result = $var;
}
return $result;
}


您可能感兴趣的文章:

asp 防止SQL注入代码

asp.net 防止SQL注入攻击

PHP中防止SQL注入攻击和XSS攻击的两个简单方法

discuz的php防止sql注入函数

PHP中防止SQL注入实现代码

c#.net全站防止SQL注入类的代码

防止xss和sql注入:JS特殊字符过滤正则

php中防止SQL注入的最佳解决方法

php防止SQL注入详解及防范

有效防止SQL注入的5种方法总结

欢迎光临时时商务社区 (http://bbs.4435.cn/)