防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。

function filter($str)

{

    if (empty($str)) return false;

    $str = htmlspecialchars($str);

    $str = str_replace( '/', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '(', "", $str);

    $str = str_replace( ')', "", $str);

    $str = str_replace( 'CR', "", $str);

    $str = str_replace( 'ASCII', "", $str);

    $str = str_replace( 'ASCII 0x0d', "", $str);

    $str = str_replace( 'LF', "", $str);

    $str = str_replace( 'ASCII 0x0a', "", $str);

    $str = str_replace( ',', "", $str);

    $str = str_replace( '%', "", $str);

    $str = str_replace( ';', "", $str);

    $str = str_replace( 'eval', "", $str);

    $str = str_replace( 'open', "", $str);

    $str = str_replace( 'sysopen', "", $str);

    $str = str_replace( 'system', "", $str);

    $str = str_replace( '$', "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( 'ASCII 0x08', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace("", "", $str);

    $str = str_replace("&gt", "", $str);

    $str = str_replace("&lt", "", $str);

    $str = str_replace("<SCRIPT>", "", $str);

    $str = str_replace("</SCRIPT>", "", $str);

    $str = str_replace("<script>", "", $str);

    $str = str_replace("</script>", "", $str);

    $str = str_replace("select","",$str);

    $str = str_replace("join","",$str);

    $str = str_replace("union","",$str);

    $str = str_replace("where","",$str);

    $str = str_replace("insert","",$str);

    $str = str_replace("delete","",$str);

    $str = str_replace("update","",$str);

    $str = str_replace("like","",$str);

    $str = str_replace("drop","",$str);

    $str = str_replace("DROP","",$str);

    $str = str_replace("create","",$str);

    $str = str_replace("modify","",$str);

    $str = str_replace("rename","",$str);

    $str = str_replace("alter","",$str);

    $str = str_replace("cas","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace(">","",$str);

    $str = str_replace("<","",$str);

    $str = str_replace(" ",chr(32),$str);

    $str = str_replace(" ",chr(9),$str);

    $str = str_replace("    ",chr(9),$str);

    $str = str_replace("&",chr(34),$str);

    $str = str_replace("'",chr(39),$str);

    $str = str_replace("<br />",chr(13),$str);

    $str = str_replace("''","'",$str);

    $str = str_replace("css","'",$str);

    $str = str_replace("CSS","'",$str);

    $str = str_replace("<!--","",$str);

    $str = str_replace("convert","",$str);

    $str = str_replace("md5","",$str);

    $str = str_replace("passwd","",$str);

    $str = str_replace("password","",$str);

    $str = str_replace("../","",$str);

    $str = str_replace("./","",$str);

    $str = str_replace("Array","",$str);

    $str = str_replace("or 1='1'","",$str);

    $str = str_replace(";set|set&set;","",$str);

    $str = str_replace("`set|set&set`","",$str);

    $str = str_replace("--","",$str);

    $str = str_replace("OR","",$str);

    $str = str_replace('"',"",$str);

    $str = str_replace("*","",$str);

    $str = str_replace("-","",$str);

    $str = str_replace("+","",$str);

    $str = str_replace("/","",$str);

    $str = str_replace("=","",$str);

    $str = str_replace("'/","",$str);

    $str = str_replace("-- ","",$str);

    $str = str_replace(" -- ","",$str);

    $str = str_replace(" --","",$str);

    $str = str_replace("(","",$str);

    $str = str_replace(")","",$str);

    $str = str_replace("{","",$str);

    $str = str_replace("}","",$str);

    $str = str_replace("-1","",$str);

    $str = str_replace("1","",$str);

    $str = str_replace(".","",$str);

    $str = str_replace("response","",$str);

    $str = str_replace("write","",$str);

    $str = str_replace("|","",$str);

    $str = str_replace("`","",$str);

    $str = str_replace(";","",$str);

    $str = str_replace("etc","",$str);

    $str = str_replace("root","",$str);

    $str = str_replace("//","",$str);

    $str = str_replace("!=","",$str);

    $str = str_replace("$","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace("&&","",$str);

    $str = str_replace("==","",$str);

    $str = str_replace("#","",$str);

    $str = str_replace("@","",$str);

    $str = str_replace("mailto:","",$str);

    $str = str_replace("CHAR","",$str);

    $str = str_replace("char","",$str);

    return $str;

}

更加简便的防止sql注入的方法(推荐使用这个):

 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开

 {

    $post = addslashes($name); // magic_quotes_gpc没有打开的时候把数据过滤

 }     

 $name = str_replace("_", "\_", $name); // 把 '_'过滤掉   

 $name = str_replace("%", "\%", $name); // 把' % '过滤掉     

 $name = nl2br($name); // 回车转换     

 $name= htmlspecialchars($name); // html标记转换    

 return $name;

  

PHP防XSS 防SQL注入的代码

/**

 * 过滤参数

 * @param string $str 接受的参数

 * @return string

 */

static public function filterWords($str)

{

    $farr = array(

            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",

            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",

            "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"

    );

    $str = preg_replace($farr,'',$str);

    return $str;

}

/**

 * 过滤接受的参数或者数组,如$_GET,$_POST

 * @param array|string $arr 接受的参数或者数组

 * @return array|string

 */

static public function filterArr($arr)

{

    if(is_array($arr)){

        foreach($arr as $k => $v){

            $arr[$k] = self::filterWords($v);

        }

    }else{

        $arr = self::filterWords($v);

    }

    return $arr;

}

  

在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes() 、trim()函数。这两个函数都是对特殊字符进行转义。

1)addslashes()作用及使用

addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义

如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1;

2)htmlspecialchars()作用及使用

htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。

如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script&gt

3)addslashes()与htmlspecialchars()的区别

除了两个函数的转义方式不同外,它们的使用也不同。

addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。

但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。

这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。

  

php防sql注入过滤代码的更多相关文章

  1. 【转载】C#防SQL注入过滤危险字符信息

    不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入攻击的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入攻击的 ...

  2. PHP防XSS 防SQL注入的代码

    作为开发人员时刻要记住一句话,永远不要相信任何用户的输入!很多时候我们的网站会因为我们开发人员写的代码不够严谨,而使网站受到攻击,造成不必要的损失!下面介绍一下如何防止SQL注入! 这里提供了一个函数 ...

  3. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  4. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

  5. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  6. Sqlparameter防SQL注入

    一.SQL注入的原因 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 ...

  7. 防SQL注入:生成参数化的通用分页查询语句

    原文:防SQL注入:生成参数化的通用分页查询语句 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程.使用这种通用的存 ...

  8. PHP防SQL注入攻击

    PHP防SQL注入攻击 收藏 没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $ ...

  9. .Net防sql注入的方法总结

    #防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: ...

随机推荐

  1. 【算法】DP解决旅行路径问题

    问题描述 : After coding so many days,Mr Acmer wants to have a good rest.So travelling is the best choice ...

  2. Java crash问题分析

    Java的应用有时候会因为各种原因Crash,这时候会产生一个类似java_errorpid.log的错误日志.可以拿到了 这个日志,怎样分析Crash的原因呢?下面我们来详细讨论如何分析java_e ...

  3. extjs如何使用

    刚学ExtJs 不知道如何使用.. 我的操作步骤如下: 1. 在项目中导入ExtJs 2. 创建了一个one.js 和 helloworld.html 3. one.js中的代码如下: Ext.Mes ...

  4. 2018.11.02 洛谷P2831 愤怒的小鸟(状压dp)

    传送门 状压一眼题. 直接f[i]f[i]f[i]表示未选择状态为iii时的最小次数. 然后考虑现在怎么转移. 显然可以直接枚举消掉某一个点或者某两个点,复杂度O(n22n)O(n^22^n)O(n2 ...

  5. Tomcat架构解析(二)-----Connector、Tomcat启动过程以及Server的创建过程

    Connector用于跟客户端建立连接,获取客户端的Socket,交由Container处理.需要解决的问题有监听.协议以及处理器映射等等. 一.Connector设计   Connector要实现的 ...

  6. Le Chapitre I

    Lorsque j'avais six ans j'ai vu, une fois, une magnifique image, dans un livre sur la Forêt[fɔrε] Vi ...

  7. tflite笔记

    固化模型 方法一:freeze_graph方法 把tf.train.write_graph()生成的pb文件与tf.train.saver()生成的chkp文件固化之后重新生成一个pb文件 with ...

  8. centos7 配置ip

    1. 切换到root用户下: su root 2.进入network-scripts目录: cd /etc/sysconfig/network-scripts/ 3.该目录下一般第一个文件是主文件,我 ...

  9. Linux查看登录到服务的用户,查看用户的操作已经剔掉干坏事的用户的命令

    在工作中,我们有时候会经常的切换用户,有时候会忘记切换到哪个用户了,我们就需要知道当前登录的用户时谁,可以使用: whoami 查看当前登录到系统中的用户有哪些: who 列表中显示,第一列是用户名, ...

  10. call和apply的作用实例

    <script> var scopeTest = function(){ //考察了 this 的含义 window.a=2; function fn(b){ this.b = b; co ...