输入值/表单提交参数过滤有效防止sql注入的方法
分类:PHP作者:编程之家
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法:
<div class="codetitle"><a style="CURSOR: pointer" data="85003" class="copybut" id="copybut85003" onclick="doCopy('code85003')"> 代码如下:
<div class="codebody" id="code85003">
/
过滤sql与PHP文件操作的关键字
@param string $string
@return string
@author zyb zyb_icanplay@163.com
/
private function filter_keyword( $string ) {
$keyword = 'select|insert|update|delete|\'|\/*|\|..\/|.\/|union|into|load_file|outfile';
$arr = explode( '|',$keyword );
$result = str_ireplace( $arr,'',$string );
return $result;
} / 检查输入的数字是否合法,合法返回对应id,否则返回false
@p
aram integer $id
@return mixed
@author zyb
zyb_icanplay@163.com */
protected function check_id( $id ) {
$result = false;
if ( $id !== '' && !is_null( $id ) ) {
$var = $this->filter_keyword( $id ); // 过滤
sql与
PHP文件操作的关键字
if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
$result = intval( $var );
}
}
return $result;
} /*
检查输入的字符是否合法,合法返回对应id,否则返回false
@param string $string
@return mixed
@author zyb zyb_icanplay@163.com
/
protected function check_str( $string ) {
$result = false;
$var = $this->filter_keyword( $string ); // 过滤
sql与
PHP文件操作的关键字
if ( !empty( $var ) ) {
if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开
$var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
//$var = str
replace( "","_",$var ); // 把 '_'过滤掉
$var = str_replace( "%","\%",$var ); // 把 '%'过滤掉
$var = nl2br( $var ); // 回车转换
$var = htmlspecialchars( $var ); // html
标记转换
$result = $var;
}
return $result;
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
