簡單的 php 防注入、防跨站 函式
阿新 • • 發佈:2019-01-04
/** * 簡單的 php 防注入、防跨站 函式 * @return String */ function fn_safe($str_string) { //直接剔除 $_arr_dangerChars = array( "|", ";", "$", "@", "+", "\t", "\r", "\n", ",", "(", ")", PHP_EOL //特殊字元 ); //正則剔除 $_arr_dangerRegs = array( /* -------- 跨站 --------*/ //html 標籤"/<(script|frame|iframe|bgsound|link|object|applet|embed|blink|style|layer|ilayer|base|meta)\s+\S*>/i", //html 屬性 "/on(afterprint|beforeprint|beforeunload|error|haschange|load|message|offline|online|pagehide|pageshow|popstate|redo|resize|storage|undo|unload|blur|change|contextmenu|focus|formchange|forminput|input|invalid|reset|select|submit|keydown|keypress|keyup|click|dblclick|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousedown|mousemove|mouseout|mouseover|mouseup|mousewheel|scroll|abort|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadedmetadata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting)\s*=\s*(\"|')?\S*(\"|')?/i", //html 屬性包含指令碼 "/\w+\s*=\s*(\"|')?(java|vb)script:\S*(\"|')?/i", //js 物件 "/(document|location)\s*\.\s*\S*/i", //js 函式 "/(eval|alert|prompt|msgbox)\s*\(.*\)/i", //css "/expression\s*:\s*\S*/i", /* -------- sql 注入 --------*/ //顯示 資料庫 | 表 | 索引 | 欄位"/show\s+(databases|tables|index|columns)/i", //建立 資料庫 | 表 | 索引 | 檢視 | 儲存過程 | 儲存過程 "/create\s+(database|table|(unique\s+)?index|view|procedure|proc)/i", //更新 資料庫 | 表 "/alter\s+(database|table)/i", //丟棄 資料庫 | 表 | 索引 | 檢視 | 欄位 "/drop\s+(database|table|index|view|column)/i", //備份 資料庫 | 日誌 "/backup\s+(database|log)/i", //初始化 表 "/truncate\s+table/i", //替換 檢視 "/replace\s+view/i", //建立 | 更改 欄位 "/(add|change)\s+column/i", //選擇 | 更新 | 刪除 記錄 "/(select|update|delete)\s+\S*\s+from/i", //插入 記錄 | 選擇到檔案 "/insert\s+into/i", //sql 函式 "/load_file\s*\(.*\)/i", //sql 其他 "/(outfile|infile)\s+(\"|')?\S*(\"|')/i", ); $_str_return = $str_string; //$_str_return = urlencode($_str_return); foreach ($_arr_dangerChars as $_key=>$_value) { $_str_return = str_ireplace($_value, "", $_str_return); } foreach ($_arr_dangerRegs as $_key=>$_value) { $_str_return = preg_replace($_value, "", $_str_return); } $_str_return = htmlentities($_str_return, ENT_QUOTES, "UTF-8", true); return $_str_return; }