防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。

function filter($str)

{

    if (empty($str)) return false;

    $str = htmlspecialchars($str);

    $str = str_replace( '/', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '(', "", $str);

    $str = str_replace( ')', "", $str);

    $str = str_replace( 'CR', "", $str);

    $str = str_replace( 'ASCII', "", $str);

    $str = str_replace( 'ASCII 0x0d', "", $str);

    $str = str_replace( 'LF', "", $str);

    $str = str_replace( 'ASCII 0x0a', "", $str);

    $str = str_replace( ',', "", $str);

    $str = str_replace( '%', "", $str);

    $str = str_replace( ';', "", $str);

    $str = str_replace( 'eval', "", $str);

    $str = str_replace( 'open', "", $str);

    $str = str_replace( 'sysopen', "", $str);

    $str = str_replace( 'system', "", $str);

    $str = str_replace( '$', "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( 'ASCII 0x08', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace("", "", $str);

    $str = str_replace("&gt", "", $str);

    $str = str_replace("&lt", "", $str);

    $str = str_replace("<SCRIPT>", "", $str);

    $str = str_replace("</SCRIPT>", "", $str);

    $str = str_replace("<script>", "", $str);

    $str = str_replace("</script>", "", $str);

    $str = str_replace("select","",$str);

    $str = str_replace("join","",$str);

    $str = str_replace("union","",$str);

    $str = str_replace("where","",$str);

    $str = str_replace("insert","",$str);

    $str = str_replace("delete","",$str);

    $str = str_replace("update","",$str);

    $str = str_replace("like","",$str);

    $str = str_replace("drop","",$str);

    $str = str_replace("DROP","",$str);

    $str = str_replace("create","",$str);

    $str = str_replace("modify","",$str);

    $str = str_replace("rename","",$str);

    $str = str_replace("alter","",$str);

    $str = str_replace("cas","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace(">","",$str);

    $str = str_replace("<","",$str);

    $str = str_replace(" ",chr(32),$str);

    $str = str_replace(" ",chr(9),$str);

    $str = str_replace("    ",chr(9),$str);

    $str = str_replace("&",chr(34),$str);

    $str = str_replace("'",chr(39),$str);

    $str = str_replace("<br />",chr(13),$str);

    $str = str_replace("''","'",$str);

    $str = str_replace("css","'",$str);

    $str = str_replace("CSS","'",$str);

    $str = str_replace("<!--","",$str);

    $str = str_replace("convert","",$str);

    $str = str_replace("md5","",$str);

    $str = str_replace("passwd","",$str);

    $str = str_replace("password","",$str);

    $str = str_replace("../","",$str);

    $str = str_replace("./","",$str);

    $str = str_replace("Array","",$str);

    $str = str_replace("or 1='1'","",$str);

    $str = str_replace(";set|set&set;","",$str);

    $str = str_replace("`set|set&set`","",$str);

    $str = str_replace("--","",$str);

    $str = str_replace("OR","",$str);

    $str = str_replace('"',"",$str);

    $str = str_replace("*","",$str);

    $str = str_replace("-","",$str);

    $str = str_replace("+","",$str);

    $str = str_replace("/","",$str);

    $str = str_replace("=","",$str);

    $str = str_replace("'/","",$str);

    $str = str_replace("-- ","",$str);

    $str = str_replace(" -- ","",$str);

    $str = str_replace(" --","",$str);

    $str = str_replace("(","",$str);

    $str = str_replace(")","",$str);

    $str = str_replace("{","",$str);

    $str = str_replace("}","",$str);

    $str = str_replace("-1","",$str);

    $str = str_replace("1","",$str);

    $str = str_replace(".","",$str);

    $str = str_replace("response","",$str);

    $str = str_replace("write","",$str);

    $str = str_replace("|","",$str);

    $str = str_replace("`","",$str);

    $str = str_replace(";","",$str);

    $str = str_replace("etc","",$str);

    $str = str_replace("root","",$str);

    $str = str_replace("//","",$str);

    $str = str_replace("!=","",$str);

    $str = str_replace("$","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace("&&","",$str);

    $str = str_replace("==","",$str);

    $str = str_replace("#","",$str);

    $str = str_replace("@","",$str);

    $str = str_replace("mailto:","",$str);

    $str = str_replace("CHAR","",$str);

    $str = str_replace("char","",$str);

    return $str;

}

更加简便的防止sql注入的方法(推荐使用这个):

 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开

 {

    $post = addslashes($name); // magic_quotes_gpc没有打开的时候把数据过滤

 }     

 $name = str_replace("_", "\_", $name); // 把 '_'过滤掉   

 $name = str_replace("%", "\%", $name); // 把' % '过滤掉     

 $name = nl2br($name); // 回车转换     

 $name= htmlspecialchars($name); // html标记转换    

 return $name;

  

PHP防XSS 防SQL注入的代码

/**

 * 过滤参数

 * @param string $str 接受的参数

 * @return string

 */

static public function filterWords($str)

{

    $farr = array(

            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",

            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",

            "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"

    );

    $str = preg_replace($farr,'',$str);

    return $str;

}

/**

 * 过滤接受的参数或者数组,如$_GET,$_POST

 * @param array|string $arr 接受的参数或者数组

 * @return array|string

 */

static public function filterArr($arr)

{

    if(is_array($arr)){

        foreach($arr as $k => $v){

            $arr[$k] = self::filterWords($v);

        }

    }else{

        $arr = self::filterWords($v);

    }

    return $arr;

}

  

在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes() 、trim()函数。这两个函数都是对特殊字符进行转义。

1)addslashes()作用及使用

addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义

如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1;

2)htmlspecialchars()作用及使用

htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。

如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script&gt

3)addslashes()与htmlspecialchars()的区别

除了两个函数的转义方式不同外,它们的使用也不同。

addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。

但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。

这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。

  

php防sql注入过滤代码的更多相关文章

  1. 【转载】C#防SQL注入过滤危险字符信息

    不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入攻击的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入攻击的 ...

  2. PHP防XSS 防SQL注入的代码

    作为开发人员时刻要记住一句话,永远不要相信任何用户的输入!很多时候我们的网站会因为我们开发人员写的代码不够严谨,而使网站受到攻击,造成不必要的损失!下面介绍一下如何防止SQL注入! 这里提供了一个函数 ...

  3. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  4. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

  5. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  6. Sqlparameter防SQL注入

    一.SQL注入的原因 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 ...

  7. 防SQL注入:生成参数化的通用分页查询语句

    原文:防SQL注入:生成参数化的通用分页查询语句 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程.使用这种通用的存 ...

  8. PHP防SQL注入攻击

    PHP防SQL注入攻击 收藏 没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $ ...

  9. .Net防sql注入的方法总结

    #防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: ...

随机推荐

  1. java中HashMap的基本方法使用

    遍历,添加词,等等 package test; import java.util.HashMap; import java.util.Iterator; import java.util.ArrayL ...

  2. NOIP模拟测试1(2017081501)

    好,今天是cgg第一次举行模拟测试,希望各位支持. 时间限制:2小时 题目链接: 题目一:水得都没名字了 题目二:车站 题目三:选数 不要觉得2小时太少,我的题目很良心,都很简单. 答案可以在模拟测试 ...

  3. java JNI 实现原理 (二) Linux 下如何 load JNILibrary

    在博客java JNI (一)虚拟机中classloader的JNILibrary 中讨论了java中的Library 是由classloader 来load的,那我们来看看 classloader是 ...

  4. SpringMVC作用域传值几种方式

    一.SpringMVC 作用域传值的几种方式 1  使用原生Servlet 1.1 在 HandlerMethod 参数中添加作用域对象 1.1.1 ServletContext不能在方法参数中获取, ...

  5. sqlserver中的CHARINDEX用法

    CHARINDEX作用 写SQL语句我们经常需要判断一个字符串中是否包含另一个字符串,但是SQL SERVER中并没有像C#提供了Contains函数,不过SQL SERVER中提供了一个叫CHAEI ...

  6. windows socket扩展函数

    1.AcceptEx() AcceptEx()用于异步接收连接,可以取得客户程序发送的第一块数据. BOOL AcceptEx( _In_  SOCKET       sListenSocket,   ...

  7. Transforming Real-Time Task Graphs to Improve Schedulability

    Basic idea:  insert artificial delays to the release times of certain vertices of a task graph to ge ...

  8. mysql update受影响的行数为0或查询结果为空时

    当执行update语句时,如果受影响的行数是0,返回的也是true. $conn = new mysqli(); $sql = "update ..."; $query = $co ...

  9. C#读取配置文件app.config

    应用程序配置文件是标准的 XML 文件,XML 标记和属性是区分大小写的.它是可以按需要更改的,开发人员可以使用配置文件来更改设置,而不必重编译应用程序.配置文件的根节点是configuration. ...

  10. 解决mac安装homebrew后报错-bash: brew: command not found

    解决mac安装homebrew后报错-bash: brew: command not found     参照官网上很简单的一句安装命令, /usr/bin/ruby -e "$(curl ...