防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击。

function filter($str)

{

    if (empty($str)) return false;

    $str = htmlspecialchars($str);

    $str = str_replace( '/', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '(', "", $str);

    $str = str_replace( ')', "", $str);

    $str = str_replace( 'CR', "", $str);

    $str = str_replace( 'ASCII', "", $str);

    $str = str_replace( 'ASCII 0x0d', "", $str);

    $str = str_replace( 'LF', "", $str);

    $str = str_replace( 'ASCII 0x0a', "", $str);

    $str = str_replace( ',', "", $str);

    $str = str_replace( '%', "", $str);

    $str = str_replace( ';', "", $str);

    $str = str_replace( 'eval', "", $str);

    $str = str_replace( 'open', "", $str);

    $str = str_replace( 'sysopen', "", $str);

    $str = str_replace( 'system', "", $str);

    $str = str_replace( '$', "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( "'", "", $str);

    $str = str_replace( 'ASCII 0x08', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace( '"', "", $str);

    $str = str_replace("", "", $str);

    $str = str_replace("&gt", "", $str);

    $str = str_replace("&lt", "", $str);

    $str = str_replace("<SCRIPT>", "", $str);

    $str = str_replace("</SCRIPT>", "", $str);

    $str = str_replace("<script>", "", $str);

    $str = str_replace("</script>", "", $str);

    $str = str_replace("select","",$str);

    $str = str_replace("join","",$str);

    $str = str_replace("union","",$str);

    $str = str_replace("where","",$str);

    $str = str_replace("insert","",$str);

    $str = str_replace("delete","",$str);

    $str = str_replace("update","",$str);

    $str = str_replace("like","",$str);

    $str = str_replace("drop","",$str);

    $str = str_replace("DROP","",$str);

    $str = str_replace("create","",$str);

    $str = str_replace("modify","",$str);

    $str = str_replace("rename","",$str);

    $str = str_replace("alter","",$str);

    $str = str_replace("cas","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace(">","",$str);

    $str = str_replace("<","",$str);

    $str = str_replace(" ",chr(32),$str);

    $str = str_replace(" ",chr(9),$str);

    $str = str_replace("    ",chr(9),$str);

    $str = str_replace("&",chr(34),$str);

    $str = str_replace("'",chr(39),$str);

    $str = str_replace("<br />",chr(13),$str);

    $str = str_replace("''","'",$str);

    $str = str_replace("css","'",$str);

    $str = str_replace("CSS","'",$str);

    $str = str_replace("<!--","",$str);

    $str = str_replace("convert","",$str);

    $str = str_replace("md5","",$str);

    $str = str_replace("passwd","",$str);

    $str = str_replace("password","",$str);

    $str = str_replace("../","",$str);

    $str = str_replace("./","",$str);

    $str = str_replace("Array","",$str);

    $str = str_replace("or 1='1'","",$str);

    $str = str_replace(";set|set&set;","",$str);

    $str = str_replace("`set|set&set`","",$str);

    $str = str_replace("--","",$str);

    $str = str_replace("OR","",$str);

    $str = str_replace('"',"",$str);

    $str = str_replace("*","",$str);

    $str = str_replace("-","",$str);

    $str = str_replace("+","",$str);

    $str = str_replace("/","",$str);

    $str = str_replace("=","",$str);

    $str = str_replace("'/","",$str);

    $str = str_replace("-- ","",$str);

    $str = str_replace(" -- ","",$str);

    $str = str_replace(" --","",$str);

    $str = str_replace("(","",$str);

    $str = str_replace(")","",$str);

    $str = str_replace("{","",$str);

    $str = str_replace("}","",$str);

    $str = str_replace("-1","",$str);

    $str = str_replace("1","",$str);

    $str = str_replace(".","",$str);

    $str = str_replace("response","",$str);

    $str = str_replace("write","",$str);

    $str = str_replace("|","",$str);

    $str = str_replace("`","",$str);

    $str = str_replace(";","",$str);

    $str = str_replace("etc","",$str);

    $str = str_replace("root","",$str);

    $str = str_replace("//","",$str);

    $str = str_replace("!=","",$str);

    $str = str_replace("$","",$str);

    $str = str_replace("&","",$str);

    $str = str_replace("&&","",$str);

    $str = str_replace("==","",$str);

    $str = str_replace("#","",$str);

    $str = str_replace("@","",$str);

    $str = str_replace("mailto:","",$str);

    $str = str_replace("CHAR","",$str);

    $str = str_replace("char","",$str);

    return $str;

}

更加简便的防止sql注入的方法(推荐使用这个):

 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开

 {

    $post = addslashes($name); // magic_quotes_gpc没有打开的时候把数据过滤

 }     

 $name = str_replace("_", "\_", $name); // 把 '_'过滤掉   

 $name = str_replace("%", "\%", $name); // 把' % '过滤掉     

 $name = nl2br($name); // 回车转换     

 $name= htmlspecialchars($name); // html标记转换    

 return $name;

  

PHP防XSS 防SQL注入的代码

/**

 * 过滤参数

 * @param string $str 接受的参数

 * @return string

 */

static public function filterWords($str)

{

    $farr = array(

            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",

            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",

            "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"

    );

    $str = preg_replace($farr,'',$str);

    return $str;

}

/**

 * 过滤接受的参数或者数组,如$_GET,$_POST

 * @param array|string $arr 接受的参数或者数组

 * @return array|string

 */

static public function filterArr($arr)

{

    if(is_array($arr)){

        foreach($arr as $k => $v){

            $arr[$k] = self::filterWords($v);

        }

    }else{

        $arr = self::filterWords($v);

    }

    return $arr;

}

  

在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes() 、trim()函数。这两个函数都是对特殊字符进行转义。

1)addslashes()作用及使用

addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义

如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1;

2)htmlspecialchars()作用及使用

htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。

如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script&gt

3)addslashes()与htmlspecialchars()的区别

除了两个函数的转义方式不同外,它们的使用也不同。

addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。

但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。

这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。

  

php防sql注入过滤代码的更多相关文章

  1. 【转载】C#防SQL注入过滤危险字符信息

    不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入攻击的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入攻击的 ...

  2. PHP防XSS 防SQL注入的代码

    作为开发人员时刻要记住一句话,永远不要相信任何用户的输入!很多时候我们的网站会因为我们开发人员写的代码不够严谨,而使网站受到攻击,造成不必要的损失!下面介绍一下如何防止SQL注入! 这里提供了一个函数 ...

  3. Java 防SQL注入过滤器(拦截器)代码

    原文出自:https://blog.csdn.net/seesun2012 前言 浅谈SQL注入:        所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符 ...

  4. C#防SQL注入代码的实现方法

    对于网站的安全性,是每个网站开发者和运营者最关心的问题.网站一旦出现漏洞,那势必将造成很大的损失.为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全设施要做到位. 下面说下网站防注入的几点 ...

  5. 【荐】PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项

    我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特 ...

  6. Sqlparameter防SQL注入

    一.SQL注入的原因 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 ...

  7. 防SQL注入:生成参数化的通用分页查询语句

    原文:防SQL注入:生成参数化的通用分页查询语句 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程.使用这种通用的存 ...

  8. PHP防SQL注入攻击

    PHP防SQL注入攻击 收藏 没有太多的过滤,主要是针对php和mysql的组合. 一般性的防注入,只要使用php的 addslashes 函数就可以了. 以下是一段copy来的代码: PHP代码 $ ...

  9. .Net防sql注入的方法总结

    #防sql注入的常用方法: 1.服务端对前端传过来的参数值进行类型验证: 2.服务端执行sql,使用参数化传值,而不要使用sql字符串拼接: 3.服务端对前端传过来的数据进行sql关键词过来与检测: ...

随机推荐

  1. NOIP水题测试(2017082401)

    哈,水题测试又来了! 上次的水题简单吧! 答案是以单题形式发布的(旅行家的预算随后发布). 下面来看今天的题,还是水题. 时间限制:5小时 题目一:看上去就很水 题目二:比上面一题还水 题目三:数的划 ...

  2. ManageEngine卓豪 IT管理峰会圆满结束

  3. 2019.01.24 bzoj2310: ParkII(轮廓线dp)

    传送门 题意简述:给一个m*n的矩阵,每个格子有权值V(i,j) (可能为负数),要求找一条路径,使得每个点最多经过一次且点权值之和最大. 思路:我们将求回路时的状态定义改进一下. 现在由于求的是路径 ...

  4. 2018.11.24 poj3261Milk Patterns(后缀数组)

    传送门 后缀数组经典题. 貌似可以用二分答案+后缀数组? 我自己yyyyyy了一个好写一点的方法. 直接先预处理出heightheightheight数组. 然后对于所有连续的k−1k-1k−1个he ...

  5. latex字体颜色

    具体的如下:\usepackage{color} 1. {\color{red} 文本} 2. \textcolor[rgb]{1,0,0}{文本}  颜色参数范围为[0,1]

  6. excel 错误提示以及其他基础知识

    http://wenda.tianya.cn/question/05a3d11b0e4f3c34 For i = 1 To ActiveSheet.ChartObjects.Count       M ...

  7. Spring通过注解配置Bean

    @Component: 基本注解, 标识了一个受 Spring 管理的组件@Repository: 标识持久层组件@Service: 标识服务层(业务层)组件@Controller: 标识表现层组件 ...

  8. Keil uVision4 for ARM 下增加支持C51,C5x

    原文链接:http://blog.csdn.net/skertone/article/details/7046447 第一步编辑 TOOLS.ini 找到Keil安装目录, 用记事本修改 TOOLS. ...

  9. C#.NET WebApi返回各种类型(图片/json数据/字符串),.net图片转二进制流或byte

    using System.IO; /// <summary> /// WebApi返回图片 /// </summary> public HttpResponseMessage  ...

  10. Hdu2068 RPG的错排 2017-06-27 15:27 30人阅读 评论(0) 收藏

    RPG的错排 Time Limit : 1000/1000ms (Java/Other)   Memory Limit : 32768/32768K (Java/Other) Total Submis ...