2. 程式人生 > >php防sql注入過濾特殊字元

php防sql注入過濾特殊字元

阿新 發佈:2019-01-23

我在PHP4環境下寫了一個防SQL注入的程式碼,經過實際使用在PHP5下也相容,歡迎大家使用修改,使用。

程式碼如下:

<?php
/*
sqlin 防注入類
*/
class sqlin
{

//dowith_sql($value)
function dowith_sql($str)
{
   $str = str_replace("and","",$str);
   $str = str_replace("execute","",$str);
   $str = str_replace("update","",$str);
   $str = str_replace("count","",$str);
   $str = str_replace("chr","",$str);
   $str = str_replace("mid","",$str);
   $str = str_replace("master","",$str);
   $str = str_replace("truncate","",$str);
   $str = str_replace("char","",$str);
   $str = str_replace("declare","",$str);
   $str = str_replace("select","",$str);
   $str = str_replace("create","",$str);
   $str = str_replace("delete","",$str);
   $str = str_replace("insert","",$str);
   $str = str_replace("'","",$str);
   $str = str_replace(""","",$str);
   $str = str_replace(" ","",$str);
   $str = str_replace("or","",$str);
   $str = str_replace("=","",$str);
   $str = str_replace("%20","",$str);
   //echo $str;
   return $str;
}
//aticle()防SQL注入函式
function sqlin()
{
   foreach ($_GET as $key=>$value)
   {
       $_GET[$key]=$this->dowith_sql($value);
   }
   foreach ($_POST as $key=>$value)
   {
       $_POST[$key]=$this->dowith_sql($value);
   }
}
}

$dbsql=new sqlin();
?>
===================================================================================
使用方式:
將以上程式碼複製新建一個sqlin.php的檔案,然後包含在有GET或者POST資料接收的頁面
原理:
將所有的SQL關鍵字替換為空
本程式碼在留言本中不能使用,若要在留言本中使用請替換其中的
.......
$str = str_replace("and","",$str);

$str = str_replace("%20","",$str);
...
的程式碼為:
$str = str_replace("and","&#97;nd",$str);
$str = str_replace("execute","&#101;xecute",$str);
$str = str_replace("update","&#117;pdate",$str);
$str = str_replace("count","&#99;ount",$str);
$str = str_replace("chr","&#99;hr",$str);
$str = str_replace("mid","&#109;id",$str);
$str = str_replace("master","&#109;aster",$str);
$str = str_replace("truncate","&#116;runcate",$str);
$str = str_replace("char","&#99;har",$str);
$str = str_replace("declare","&#100;eclare",$str);
$str = str_replace("select","&#115;elect",$str);
$str = str_replace("create","&#99;reate",$str);
$str = str_replace("delete","&#100;elete",$str);
$str = str_replace("insert","&#105;nsert",$str);
$str = str_replace("'","&#39;",$str);
$str = str_replace(""","&#34;",$str);

相關推薦

phpsql注入過濾特殊字元

我在PHP4環境下寫了一個防SQL注入的程式碼,經過實際使用在PHP5下也相容,歡迎大家使用修改,使用。 程式碼如下: <?php/*sqlin 防注入類*/class sqlin{//dowith_sql($value)function dowith_sql($str){   $str = str_

PHP sql注入

產生原因 一方面自己沒這方面的意識,有些資料沒有經過嚴格的驗證,然後直接拼接 SQL 去查詢。導致漏洞產生,比如: $id = $_GET['id']; $sql = "SELECT name FROM users WHERE id = $id"; 因為沒有對

jquery過濾特殊字元',sql注入

出自:  直接上程式碼: <script type="text/javascript" language="javascript"> $(document).ready(function() { //返回 $("#btnBack").click(

防禦SQL注入方法(2)-過濾特殊字元

防禦SQL注入的一個重要方法是對使用者輸入進行過濾,PHP中mysqli_real_escape_string(connection,escapestring)和mysqli_escape_string(connection,escapestring)函式就是對

php對前臺提交的表單資料做安全處理(SQL注入和XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

php用於SQL注入的幾個函式

用於防SQL注入的幾個函式 不要相信使用者的在登陸中輸入的內容,需要對使用者的輸入進行處理 SQL注入: ' or 1=1 #   防止SQL注入的幾個函式:   addslashes($string):用反斜線引用字串中的特殊字元' " \ $u

php 字串過濾特殊字元

* mb_ord.php <?php class Str { public static function filter(string $s, callable $f=null, string $encoding = 'UTF-8') { $enc = mb_de

php】PDO資料庫sql注入

安全的方式: $pdo = new PDO('mysql:host=localhost;dbname=phptry','username','passwd'); $pdo->query("SET

PHPXSS攻擊和sql注入

SQL注入如何防? TP中的底層已經做了防SQL注入的操作,只要我們操作資料庫時使用TP提供給我們的方法就不會有問題,如新增商品時我們呼叫了add方法。唯一要注意的就是如果我們自己拼SQL執行時就要自己來過濾了。 總結:如果要自己拼SQL語句,一定要自己再過濾一下【add

PHP對錶單提交特殊字元過濾和處理

PHP關於表單提交特殊字元的處理方法做個彙總,主要涉及htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string等幾個函式聯合使用,與大家共同交流。 一、幾個與特殊字元處理有關的

PHP中使用 mysqli 並SQL注入

自從 php5 推出 mysqli 後就開始不提倡使用 mysql_ 開頭的介面了,現在使用 mysql_connet 通常除錯的時候會報警告說這個不該用 mysqli 使用起來其實更簡單 $url = "localhost"; $usr = "root"; $paw =

防止javascript 注入攻擊 js過濾特殊字元

//匹配中文 數字 字母 下劃線       var checkInput = function (str) {     var pattern = /^[\w\u4e00-\u9fa5]+$/gi;   if(pattern.test(c))   {    return false;          

PHP PDO,預處理方式(PDOStatement物件)實現 增刪改查。sql注入

demo.php(?號式的預處理sql語句,增刪改): <?php //?號式的預處理語句 一共有3種繫結方式 //1.連線資料庫 try{ $pdo = new PDO("mysql:host=localhost;dbname=資料庫名","root

phpsql註入

超級 過濾 美的 特殊 後端 接口 分鐘 註入 管理員 先說一下為什麽要做防止sql註入。在我們登錄的時候,前臺一般是註冊後再登錄,而後臺管理員不一樣,管理員不是註冊的,而是超級管理員添加的。而一些非法分子利用了sql註入可以完美的登錄後臺進行管理,做一些非法操作。為了防止

ser2net過濾特殊字元

許多流行的linux串列埠程式設計的版本中都沒對c_iflag(termios成員變數)這個變數進行有效的設定,這樣傳送ASCII碼時沒什麼問題,但傳送二進位制資料時遇到0x0d,0x11和0x13卻會被丟掉。不用說也知道,這幾個肯定是特殊字元,被用作特殊控制了。關掉ICRNL和IXON

Android過濾特殊字元和emoji表情

1.需求場景     現在一些輸入法自帶emoji表情,EditText是支援該字元輸入的,而對於業務來說,輸入這些字元又是不合法的,因此需要對這些字元進行過濾,在使用者輸入時即時給出提示資訊。 2.解決方法     為EditText新增輸入過濾器

MySQLSQL注入

1,mysql_real_escape_string()函式已經不安全,可以利用編碼的漏洞來實現輸入任意密碼就能登入伺服器的注入攻擊 2,使用擁有Prepared Statement機制的PDO和MYSQLi來代替mysql_query(注:mysql_query自 PHP 5.5.0 起已

ubuntu上安裝Apache2+ModSecurity及實現SQL注入演示

ubuntu上安裝Apache2+ModSecurity及實現防SQL注入演示 一、Apache2 的安裝 1.1、安裝環境: OS:Ubuntu 16.04.1 LTS Apache: Apache/2.4.18 (Ubuntu) 安裝命令: 更新安裝源:

PHP預防SQL注入

PHP預防SQL注入的三種方式 一,檢驗資料型別 1.數字型別 is_numeric() 函式 2.字串型別(強校驗) preg_match(“/^[a-zA-Z0-9]{6,}$/”,變數) 二,過濾和轉義特殊字元 addslashes()對特定字元進行轉義 mys

對原生php進行sql注入

<?php include 'config.php'; //連線資料庫檔案 $name=$_GET['name']; //接收使用者名稱 $sex=$_GET['sex']; //接收密碼 $sql="select * from stu where name='$name' and