防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。

function filter($str)

{

    if (empty($str)) return false;

    $str = htmlspecialchars($str);

    $str = str_replace( '/', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '(', "", $str);

    $str = str_replace( ')', "", $str);

    $str = str_replace( 'CR', "", $str);

    $str = str_replace( 'ASCII', "", $str);

    $str = str_replace( 'ASCII 0x0d', "", $str);

    $str = str_replace( 'LF', "", $str);

    $str = str_replace( 'ASCII 0x0a', "", $str);

    $str = str_replace( ',', "", $str);

    $str = str_replace( '%', "", $str);

    $str = str_replace( ';', "", $str);

    $str = str_replace( 'eval', "", $str);

    $str = str_replace( 'open', "", $str);

    $str = str_replace( 'sysopen', "", $str);

    $str = str_replace( 'system', "", $str);

    $str = str_replace( '$', "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( 'ASCII 0x08', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace("", "", $str);

    $str = str_replace("&gt", "", $str);

    $str = str_replace("&lt", "", $str);

    $str = str_replace("<SCRIPT>", "", $str);

    $str = str_replace("</SCRIPT>", "", $str);

    $str = str_replace("<script>", "", $str);

    $str = str_replace("</script>", "", $str);

    $str = str_replace("select","",$str);

    $str = str_replace("join","",$str);

    $str = str_replace("union","",$str);

    $str = str_replace("where","",$str);

    $str = str_replace("insert","",$str);

    $str = str_replace("delete","",$str);

    $str = str_replace("update","",$str);

    $str = str_replace("like","",$str);

    $str = str_replace("drop","",$str);

    $str = str_replace("DROP","",$str);

    $str = str_replace("create","",$str);

    $str = str_replace("modify","",$str);

    $str = str_replace("rename","",$str);

    $str = str_replace("alter","",$str);

    $str = str_replace("cas","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace(">","",$str);

    $str = str_replace("<","",$str);

    $str = str_replace(" ",chr(32),$str);

    $str = str_replace(" ",chr(9),$str);

    $str = str_replace("    ",chr(9),$str);

    $str = str_replace("&",chr(34),$str);

    $str = str_replace("'",chr(39),$str);

    $str = str_replace("<br />",chr(13),$str);

    $str = str_replace("''","'",$str);

    $str = str_replace("css","'",$str);

    $str = str_replace("CSS","'",$str);

    $str = str_replace("<!--","",$str);

    $str = str_replace("convert","",$str);

    $str = str_replace("md5","",$str);

    $str = str_replace("passwd","",$str);

    $str = str_replace("password","",$str);

    $str = str_replace("../","",$str);

    $str = str_replace("./","",$str);

    $str = str_replace("Array","",$str);

    $str = str_replace("or 1='1'","",$str);

    $str = str_replace(";set|set&set;","",$str);

    $str = str_replace("`set|set&set`","",$str);

    $str = str_replace("--","",$str);

    $str = str_replace("OR","",$str);

    $str = str_replace('"',"",$str);

    $str = str_replace("*","",$str);

    $str = str_replace("-","",$str);

    $str = str_replace("+","",$str);

    $str = str_replace("/","",$str);

    $str = str_replace("=","",$str);

    $str = str_replace("'/","",$str);

    $str = str_replace("-- ","",$str);

    $str = str_replace(" -- ","",$str);

    $str = str_replace(" --","",$str);

    $str = str_replace("(","",$str);

    $str = str_replace(")","",$str);

    $str = str_replace("{","",$str);

    $str = str_replace("}","",$str);

    $str = str_replace("-1","",$str);

    $str = str_replace("1","",$str);

    $str = str_replace(".","",$str);

    $str = str_replace("response","",$str);

    $str = str_replace("write","",$str);

    $str = str_replace("|","",$str);

    $str = str_replace("`","",$str);

    $str = str_replace(";","",$str);

    $str = str_replace("etc","",$str);

    $str = str_replace("root","",$str);

    $str = str_replace("//","",$str);

    $str = str_replace("!=","",$str);

    $str = str_replace("$","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace("&&","",$str);

    $str = str_replace("==","",$str);

    $str = str_replace("#","",$str);

    $str = str_replace("@","",$str);

    $str = str_replace("mailto:","",$str);

    $str = str_replace("CHAR","",$str);

    $str = str_replace("char","",$str);

    return $str;

}

更加简便的防止sql注入的方法(推荐使用这个):

 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开

 {

    $post = addslashes($name); // magic_quotes_gpc没有打开的时候把数据过滤

 }     

 $name = str_replace("_", "\_", $name); // 把 '_'过滤掉   

 $name = str_replace("%", "\%", $name); // 把' % '过滤掉     

 $name = nl2br($name); // 回车转换     

 $name= htmlspecialchars($name); // html标记转换    

 return $name;

  

PHP防XSS 防SQL注入的代码

/**

 * 过滤参数

 * @param string $str 接受的参数

 * @return string

 */

static public function filterWords($str)

{

    $farr = array(

            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",

            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",

            "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"

    );

    $str = preg_replace($farr,'',$str);

    return $str;

}

/**

 * 过滤接受的参数或者数组,如$_GET,$_POST

 * @param array|string $arr 接受的参数或者数组

 * @return array|string

 */

static public function filterArr($arr)

{

    if(is_array($arr)){

        foreach($arr as $k => $v){

            $arr[$k] = self::filterWords($v);

        }

    }else{

        $arr = self::filterWords($v);

    }

    return $arr;

}

  

在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes() 、trim()函数。这两个函数都是对特殊字符进行转义。

1)addslashes()作用及使用

addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义

如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1;

2)htmlspecialchars()作用及使用

htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。

如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script&gt

3)addslashes()与htmlspecialchars()的区别

除了两个函数的转义方式不同外,它们的使用也不同。

addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。

但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。

这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。

  

php防sql注入过滤代码的更多相关文章

  1. 【转载】C#防SQL注入过滤危险字符信息

    不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入攻击的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入攻击的 ...

  2. PHP防XSS 防SQL注入的代码

    作为开发人员时刻要记住一句话,永远不要相信任何用户的输入!很多时候我们的网站会因为我们开发人员写的代码不够严谨,而使网站受到攻击,造成不必要的损失!下面介绍一下如何防止SQL注入! 这里提供了一个函数 ...

  3. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  4. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

  5. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  6. Sqlparameter防SQL注入

    一.SQL注入的原因 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 ...

  7. 防SQL注入:生成参数化的通用分页查询语句

    原文:防SQL注入:生成参数化的通用分页查询语句 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程.使用这种通用的存 ...

  8. PHP防SQL注入攻击

    PHP防SQL注入攻击 收藏 没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $ ...

  9. .Net防sql注入的方法总结

    #防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: ...

随机推荐

  1. 2017多校1 hdu-Balala Power!

    其实这道题的思路挺简单的,就是找在第一位置没有出现过并且权值小的那个字母为0. 把a~z按照权值排序,其实难就难在这里,权值很大我们怎么给他排序. 其实可以开个数组来存他们每位数是多少,然后给他们比个 ...

  2. Linux 在文档中查找满足条件的行并输出到文件:

    Linux 在文档中查找满足条件的行并输出到文件: 文件名称: dlog.log    输出文件: out.log 1.满足一个条件(包含  “TJ”  )的语句: grep  “TJ”  dlog. ...

  3. 2018.10.30 NOIP训练 【模板】树链剖分(换根树剖)

    传送门 纯粹是为了熟悉板子. 然后发现自己手生了足足写了差不多25min而且输出的时候因为没开long longWA了三次还不知所云 代码

  4. 查看MySQL语句变量了多少行数据

    explain MySQL语句 列如 explain SELECT * FROM 表名 WHERE id=1;

  5. 安卓逆向学习---初始APK、Dalvik字节码以及Smali

    参考链接:https://www.52pojie.cn/thread-395689-1-1.html res目录下资源文件在编译时会自动生成索引文件(R.java ), asset目录下的资源文件无需 ...

  6. poj-2777(区间线段树,求种类数模板)

    题目链接:http://poj.org/problem?id=2777 参考文章:https://blog.csdn.net/heucodesong/article/details/81038360 ...

  7. boost-使用property_tree来解析xml、json

    property_tree是一个保存了多个属性值的树形数据结构,可以用来解析xml.json.ini.info文件.要使用property_tree和xml解析组件的话需要包含"boost/ ...

  8. NodeList类型

    NodeList近亲NameNodeMap.HTMLCollection是从整体上透彻理解DOM的关键所在.这三个集合都是'动态的' 换句话说,每当文档结构发生变化时,它们都会更新. 所以它们始终都会 ...

  9. maven使用中遇到的问题

    一>手动将jar包安装到仓库的命令示例: 首先:编写命令:mvn install:install-file -Dfile=D:\lucene-highlighter-4.10.2.jar -Dg ...

  10. Arria10中PHY的时钟线结构

    发送器时钟网络由发送器PLL到发送器通道,它为发送器提供两种时钟 高速串行时钟——串化器的高速时钟 低速并行时钟——串化器和PCS的低速时钟 在绑定通道模式,串行和并行时钟都是由发送器的PLL提供给发 ...