• 输入值/表单提交参数过滤有效防止sql注入的方法


    输入值/表单提交参数过滤,防止sql注入或非法攻击的方法: 

     代码如下:
    /** 
    * 过滤sql与php文件操作的关键字 
    * @param string $string 
    * @return string 
    * @author zrp <zouruiping668@sina.com> 
    */ 
    private function filter_keyword( $string ) { 
    $keyword = select|insert|update|delete||/*|*|../|./|union|into|load_file|outfile; 
    $arr = explode( |, $keyword ); 
    $result = str_ireplace( $arr, , $string ); 
    return $result; 
    } 
    View Code
    /** 
    * 检查输入的数字是否合法,合法返回对应id,否则返回false 
    * @param integer $id 
    * @return mixed 
    * @author zrp <zouruiping668@sina.com>  
    */ 
    protected function check_id( $id ) { 
    $result = false; 
    if ( $id !== && !is_null( $id ) ) { 
    $var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字 
    if ( $var !== && !is_null( $var ) && is_numeric( $var ) ) { 
    $result = intval( $var ); 
    } 
    } 
    return $result; 
    } 
    View Code

    /** 
    * 检查输入的字符是否合法,合法返回对应id,否则返回false 
    * @param string $string 
    * @return mixed 
    * @author zrp <zouruiping668@sina.com> 
    */ 
    protected function check_str( $string ) { 
    $result = false; 
    $var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字 
    if ( !empty( $var ) ) { 
    if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开 
    $var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
    } 
    //$var = str_replace( "_", "\_", $var ); // 把 _过滤掉 
    $var = str_replace( "%", "\%", $var ); // 把 %过滤掉 
    $var = nl2br( $var ); // 回车转换 
    $var = htmlspecialchars( $var ); // html标记转换 
    $result = $var; 
    } 
    return $result; 
    } 
    View Code

    输入值/表单提交参数过滤,防止sql注入或非法攻击的方法: 

    代码如下:

    /** 
    * 过滤sql与php文件操作的关键字 
    * @param string $string 
    * @return string 
    * @author zrp <zouruiping668@sina.com> 
    */ 
    private function filter_keyword( $string ) { 
    $keyword = select|insert|update|delete||/*|*|../|./|union|into|load_file|outfile; 
    $arr = explode( |, $keyword ); 
    $result = str_ireplace( $arr, , $string ); 
    return $result; 
    } 
    View Code


    /** 
    * 检查输入的数字是否合法,合法返回对应id,否则返回false 
    * @param integer $id 
    * @return mixed 
    * @author zrp <zouruiping668@sina.com>  
    */ 
    protected function check_id( $id ) { 
    $result = false; 
    if ( $id !== && !is_null( $id ) ) { 
    $var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字 
    if ( $var !== && !is_null( $var ) && is_numeric( $var ) ) { 
    $result = intval( $var ); 


    return $result; 


    /** 
    * 检查输入的字符是否合法,合法返回对应id,否则返回false 
    * @param string $string 
    * @return mixed 
    * @author zrp <zouruiping668@sina.com> 
    */ 
    protected function check_str( $string ) { 
    $result = false; 
    $var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字 
    if ( !empty( $var ) ) { 
    if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开 
    $var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 
    } 
    //$var = str_replace( "_", "\_", $var ); // 把 _过滤掉 
    $var = str_replace( "%", "\%", $var ); // 把 %过滤掉 
    $var = nl2br( $var ); // 回车转换 
    $var = htmlspecialchars( $var ); // html标记转换 
    $result = $var; 
    } 
    return $result; 
    } 
    View Code
  • 相关阅读:
    点击有惊喜
    模态框案例
    DOM操作
    定时器
    函数和object
    shell 判断文件出现次数
    shell 判断路径
    shell 循环数组
    shell 判断为空打印
    shell 示例1 从1叠加到100
  • 原文地址:https://www.cnblogs.com/zrp2013/p/4598939.html
Copyright © 2020-2023  润新知