2. 程式人生 > >php防注入--sql

php防注入--sql

阿新 發佈:2019-02-17 
//防SQL注入
function check_sql($word){
	$words = array();
	$words[] = "add";
	$words[] = "count";
	$words[] = "create";
	$words[] = "delete";
	$words[] = "drop";
	$words[] = "from";
	$words[] = "grant";
	$words[] = "insert";
	$words[] = "truncate";
	$words[] = "update";
	$words[] = "use";
	$words[] = "like";
	$words[] = "or";
	$words[] = "cas";
	$words[] = "rename";
	$words[] = "alter";
	$words[] = "modify";
	$words[] = "select";
	$words[] = "join";
	$words[] = "union";
	$words[] = "where";
	$words[] = "and";
	$words[] = "execute";
    $words[] = "chr";
  	$words[] = "mid";
    $words[] = "master";
    $words[] = "truncate";
    $words[] = "char";
	$w = strtolower($word);
	if(stristr($w,'--')){
		return '';
	}
	if(preg_match("/[\(\)=\'\"]/",$w)){
		foreach($words as $t){
			if(preg_match("/$t\b/",$w)){
				return '';
			}
		}
	}
	return $word;
}

相關推薦

php注入--sql

//防SQL注入 function check_sql($word){ $words = array(); $words[] = "add"; $words[] = "count"; $wor

簡單的 php 注入跨站 函式

/** * 簡單的 php 防注入、防跨站 函式 * @return String */ function fn_safe($str_string) { //直接剔除 $_arr_dangerChars = array( "|", ";", "$"

通用的PHP注入漏洞攻擊的過濾函式程式碼

<?PHP  //PHP整站防注入程式,需要在公共檔案中require_once本檔案 //判斷magic_quotes_gpc狀態 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = se

比較好用的PHP注入漏洞過濾函式程式碼

<?php //PHP整站防注入程式,需要在公共檔案中require_once本檔案 //判斷magic_quotes_gpc狀態 if (@get_magic_quotes_gpc()) { $_GET = sec($_GET); $_POST =

PHP SQL注入

參考資料: PHP中防止SQL注入的方法 php操作mysql防止sql注入(合集) PDO防注入原理分析以及使用PDO的注意事項 php SQL 防注入的一些經驗 如何在PHP中防止SQL注入? PHP安全程式設計:防止SQL注入 addslashes與mysql_real_escap

phpsql注入過濾特殊字元

我在PHP4環境下寫了一個防SQL注入的程式碼,經過實際使用在PHP5下也相容,歡迎大家使用修改,使用。 程式碼如下: <?php/*sqlin 防注入類*/class sqlin{//dowith_sql($value)function dowith_sql($str){   $str = str_

PHP sql注入

產生原因 一方面自己沒這方面的意識,有些資料沒有經過嚴格的驗證,然後直接拼接 SQL 去查詢。導致漏洞產生,比如: $id = $_GET['id']; $sql = "SELECT name FROM users WHERE id = $id"; 因為沒有對

phpsql註入

超級 過濾 美的 特殊 後端 接口 分鐘 註入 管理員 先說一下為什麽要做防止sql註入。在我們登錄的時候,前臺一般是註冊後再登錄,而後臺管理員不一樣,管理員不是註冊的,而是超級管理員添加的。而一些非法分子利用了sql註入可以完美的登錄後臺進行管理,做一些非法操作。為了防止

最新天貓3輪面試題目:虛擬機器+併發鎖+Sql注入+Zookeeper

一面 自我介紹、專案介紹 Spring攔截器、實現了哪些方法?底層原理 AOP如何配置,底層原理、2種動態代理,aop註解實現,xml定義切面 Bean的作用域,單例模式是否執行緒安全?惡漢模式是否執行緒安全?bean如何結束生命週期? Spring事務種類,如

2018年天貓3輪面試題目:虛擬機器+併發鎖+Sql注入+Zookeeper

一面 自我介紹、專案介紹 Spring攔截器、實現了哪些方法?底層原理 AOP如何配置,底層原理、2種動態代理,aop註解實現,xml定義切面 Bean的作用域,單例模式是否執行緒安全?惡漢模式是否執行緒安全?bean如何結束生命週期? Spring事務種

SQL注入 web開發中防止SQL注入

web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL

如何在PHP中防止SQL注入

  1: 使用PDO物件(對於任何資料庫驅動都好用)2: addslashes用於單位元組字串的處理,3: 多位元組字元用mysql_real_escape_string吧。 另外對於php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quote

PHP程式碼審計-SQL注入漏洞挖掘

SQL注入經常出現在登入頁面,HTTP頭(user-agent/client-ip/cookies等),訂單處理等地方,在發生多個互動的地方經常會發生二次注入。 普通注入 $uid = $_GET[‘id’]; $sql = “select * from user where id=$

sql 注入

看程式碼看到一個php與mysql的一種特殊用法,就查詢此用法的意義,發現是一種sql防注入的方法,平時查詢sql防注入的方法也沒查到過這種用法,趕快記下來 。介紹完該方法,再通過引用他人的部落格,來介紹一下sql注入攻擊技巧與防範。 防注入方法: 用到的方法: p

PHP實現防止SQL注入的2種方法

PHP簡單實現防止SQL注入的方法,結合例項形式分析了PHP防止SQL注入的常用操作技巧與注意事項,PHP原始碼備有詳盡註釋便於理解,需要的朋友可以參考下!   方法一:execute代入引數 $var_Value) { //獲取POST陣列最大值 $num = $nu

【程式碼審計】五指CMS_v4.1.0 copyfrom.php 頁面存在SQL注入漏洞分析

  0x00 環境準備 五指CMS官網:https://www.wuzhicms.com/ 網站原始碼版本:五指CMS v4.1.0 UTF-8 開源版 程式原始碼下載:https://www.wuzhicms.com/download/ 測試網站首頁:   0x01 程式碼

【程式碼審計】XIAOCMS_後臺database.php頁面存在SQL注入漏洞

  0x00 環境準備 XIAOCMS官網: http://www.xiaocms.com/ 網站原始碼版本:XiaoCms (釋出時間:2014-12-29) 程式原始碼下載:http://www.xiaocms.com/download/XiaoCms_20141229.zip 測試網

Mybatis中的SQL注入

sql注入大家都不陌生,是一種常見的攻擊方式,攻擊者在介面的表單資訊或url上輸入一些奇怪的sql片段,例如“or ‘1’=‘1’”這樣的語句,有可能入侵引數校驗不足的應用程式。所以在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性很高的應用中,比

SQL注入例項

防止SQL注入的動機 近來教育行業的資訊保安問題真是一波未平一波又起:陸續發生多個高校網站網頁被篡改,甚至發生在G20會議期間,影響惡劣;高校密集被爆SQL注入漏洞,涉及80%以上的高校;教育行業成為電信詐騙的重災區,據統計,被騙學生佔全部被騙人數的20%左右,

SQL注入大全——史上最全的 SQL 注入資料

SQL注入速查表是可以為你提供關於不同種類 SQL注入漏洞 的詳細資訊的一個資源。這份速查表對於經驗豐富的滲透測試人員,或者剛開始接觸 Web應用安全 的初學者,都是一份很好的參考資料。關於這份 SQL 注入速查表這份 SQL 速查表最初是 2007 年時 Ferruh Mavituna 在他自己的部落格上釋