PHP防注入函数代码总结
作者:手机用户2502883445 | 来源:互联网 | 2014-08-24 13:54
在php中防注入一般会写一个全局文件用来过滤特殊的字符串,本文章来总结了各种各样的php防注入函数代码,同时还可防sql注入大家可参考.为了安全,我们常用到下面的函数来过滤一些传递过来的非法字符,P...
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
PHP防注入函数代码总结
发布: 来源: 添加日期:2014-08-22 14:19:17 浏览: 评论:0
在php中防注入一般会写一个全局文件用来过滤特殊的字符串,本文章来总结了各种各样的php防注入函数代码,同时还可防sql注入大家可参考.
为了安全,我们常用到下面的函数来过滤一些传递过来的非法字符,PHP防注入函数,代码如下:
-
- $ArrFiltrate=array(“‘”,”;”,”union”,”select”,”delete”,”‘”,”or”,”and”,”=”);
-
- $StrGoUrl=”";
-
- function FunStringExist($StrFiltrate,$ArrFiltrate){
- foreach ($ArrFiltrate as $key=>$value){
- if (eregi($value,$StrFiltrate)){
- return true;
- }
- }
- return false;
- }
-
- if(function_exists(array_merge)){
- $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
- }else{
- foreach($HTTP_POST_VARS as $key=>$value){
- $ArrPostAndGet[]=$value;
- }
- foreach($HTTP_GET_VARS as $key=>$value){
- $ArrPostAndGet[]=$value;
- }
- }
-
- foreach($ArrPostAndGet as $key=>$value){
- if (FunStringExist($value,$ArrFiltrate)){
- if (emptyempty($StrGoUrl)){
- echo “”;
- }else{
- echo “”;
- }
- exit;
- }
- }
再看一个实例与上面差不多,这个是dz论坛使用的方法,代码如下:
- $magic_quotes_gpc = get_magic_quotes_gpc();
- @extract(daddslashes($_COOKIE));
- @extract(daddslashes($_POST));
- @extract(daddslashes($_GET));
- if(!$magic_quotes_gpc) {
- $_FILES = daddslashes($_FILES);
- }
- function daddslashes($string, $force = 0) {
- if(!$GLOBALS['magic_quotes_gpc'] || $force) {
- if(is_array($string)) {
- foreach($string as $key => $val) {
- $string[$key] = daddslashes($val, $force);
- }
- } else {
- $string = addslashes($string);
- }
- }
- return $string;
- }
最后发一加强版的,代码如下:
- $field = explode(',', $data);
- array_walk($field, array($this, 'add_special_char'));
- $data = implode(',', $field);
-
-
-
-
- public function add_special_char(&$value) {
- if('*' == $value || false !== strpos($value, '(') || false !== strpos($value, '.') || false !== strpos ( $value, '`')) {
-
- } else {
- $value = '`'.trim($value).'`';
- }
- return $value;
- }
- function str_filter($str) {
- $str = htmlspecialchars ( $str );
- if (! get_magic_quotes_gpc ()) {
- $str = addslashes ( $str );
- }
-
- return preg_replace ( "/["'=]|(and)|(or)|(create)|(update)|(alter)|(delete)|(insert)|(load_file)|(outfile)|(count)|(%20)|(char)/i", "", $str );
- }
-
-
-
-
-
-
- function str_check($str) {
- if (! get_magic_quotes_gpc ()) {
- $str = addslashes ( $str );
- }
- $str = str_replace ( "_", "_", $str );
- $str = str_replace ( "%", "%", $str );
- return $str;
- }
-
-
-
-
-
-
-
- function post_check($post) {
- if (! get_magic_quotes_gpc ()) {
- $post = addslashes ( $post );
- }
- $post = str_replace ( "_", "_", $post );
- $post = str_replace ( "%", "%", $post );
- $post = nl2br ( $post );
- $post = htmlspecialchars ( $post );
- return $post;
- }
-
-
-
-
-
-
- function inject_check($sql_str) {
- return eregi('select|insert|and|or|update|delete|'|
-
-
-
-
-
-
-
-
- function verify_id($id=null) {
- if (!$id) { exit('没有提交参数!'); }
- elseif (inject_check($id)) { exit('提交的参数非法!'); }
- elseif (!is_numeric($id)) { exit('提交的参数非法!'); }
- $id = intval($id);
-
- return $id;
- }
-
-
-
-
-
- function HtmlReplace($str, $rptype = 0) {
- $str = stripslashes ( $str );
- if ($rptype == 0) {
- $str = htmlspecialchars ( $str );
- } else if ($rptype == 1) {
- $str = htmlspecialchars ( $str );
- $str = str_replace ( " ", ' ', $str );
- $str = ereg_replace ( "[rnt ]{1,}", ' ', $str );
- } else if ($rptype == 2) {
- $str = htmlspecialchars ( $str );
- $str = str_replace ( " ", '', $str );
- $str = ereg_replace ( "[rnt ]", '', $str );
- } else {
- $str = ereg_replace ( "[rnt ]{1,}", ' ', $str );
- $str = eregi_replace ( 'script', 'script', $str );
- $str = eregi_replace ( "<[/]{0,1}(link|meta|ifr|fra)[^>]*>", &#39;&#39;, $str );
- }
- return addslashes ( $str );
- }
-
- function daddslashes($string, $force = 0, $strip = FALSE) {
- if (! get_magic_quotes_gpc () || $force) {
- if (is_array ( $string )) {
- foreach ( $string as $key => $val ) {
- $string [$key] = daddslashes ( $val, $force );
- }
- } else {
- $string = addslashes ( $strip ? stripslashes ( $string ) : $string );
- }
- }
- return $string;
- }
-
-
- function dstripslashes($string) {
- if (is_array ( $string )) {
- foreach ( $string as $key => $val ) {
- $string [$key] = $this->dstripslashes ( $val );
- }
- } else {
- $string = stripslashes ( $string );
- }
- return $string;
- }
-
-
-
-
-
- function safe_replace($string) {
- $string = str_replace(&#39;%20&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;%27&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;%2527&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;*&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;"&#39;,&#39;"&#39;,$string);
- $string = str_replace("&#39;",&#39;&#39;,$string);
- $string = str_replace(&#39;"&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;;&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;<&#39;,&#39;<&#39;,$string);
- $string = str_replace(&#39;>&#39;,&#39;>&#39;,$string);
- $string = str_replace("{",&#39;&#39;,$string);
- $string = str_replace(&#39;}&#39;,&#39;&#39;,$string);
- return $string;
- }
-
-
-
-
-
-
- function new_htmlspecialchars($string) {
- if(!is_array($string))
- return htmlspecialchars($string);
- foreach($string as $key => $val)
- $string[$key] = new_htmlspecialchars($val);
- return $string;
- }
-
-
- function TrimMsg($msg) {
- $msg = trim ( stripslashes ( $msg ) );
- $msg = nl2br ( htmlspecialchars ( $msg ) );
- $msg = str_replace ( " ", " ", $msg );
- return addslashes ( $msg );
- }
- ?>
推荐阅读
-
环境phpstudyphp服务端代码security数据库中的users表中的username,password字段用户名adminJSON服务端代码大家实际测试中注 ...
[详细]
蜡笔小新 2024-09-27 19:45:58
-
Git是一个开源的分布式版本控制系统,用以有效、高速的处理从很小到非常大的项目版本管理,现在在企业中的使用率也是很广的。git是一个分布式的版本控制系统,不像以前的svn,svn是 ...
[详细]
蜡笔小新 2024-09-27 16:15:22
-
-
安全3AAuthentication:认证Authorzation:授权Accouting|Audition:审计用户管理用户:UID:0,不一定是root,root的uid非0时 ...
[详细]
蜡笔小新 2024-09-28 19:55:23
-
关键字:驰骋工作流程快速开发平台工作流程管理系统工作流引擎asp.net工作流引擎java工作流引擎.开发者表单拖拽式表单工作流系统流程数据加密md5数据保密流程数据防篡改软加密适 ...
[详细]
蜡笔小新 2024-09-28 18:39:01
-
MaxCompute是阿里EB级计算平台,经过十年磨砺,它成为阿里巴巴集团数据中台的计算核心和阿里云大数据的基础服务。去年MaxCompute做了哪些工作,这些工作背后的原因是什 ...
[详细]
蜡笔小新 2024-09-28 17:30:24
-
nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd ...
[详细]
蜡笔小新 2024-09-28 16:52:03
-
如官网所描述的Flink支持两种方式实现异步IO查询外部系统http ...
[详细]
蜡笔小新 2024-09-28 11:27:02
-
导读:很多朋友问到关于入门学什么php框架简单的相关问题,本文编程笔记就来为大家做个详细解答,供大家参考,希望对大家有所帮助!一起来看看吧!本文目录一览: ...
[详细]
蜡笔小新 2024-09-28 10:52:44
-
接上文http:blog.itpub.net29254281viewspace-1318239领导让开发同学鼓捣一个可配置化的后台.又回到了原来的问题如果要灵活,很多参数要 ...
[详细]
蜡笔小新 2024-09-27 19:50:41
-
定义一些名词欠拟合(underfitting):数据中的某些成分未被捕获到,比如拟合结果是二次函数,结果才只拟合出了一次函数。过拟合(overfitting):使用过量的特征集合, ...
[详细]
蜡笔小新 2024-09-28 19:52:49
-
nacos的github的链接:https:github.comalibabanacosreleasestag1.4.1nacos的ZIP的链接:htt ...
[详细]
蜡笔小新 2024-09-28 19:28:48
-
如果你家的路由器已经get到了ipv6地址,并且你家的电脑也获取了有效的ipv6地址,在广域网的设备可以访问到。那恭喜你,再配合我这个dd ...
[详细]
蜡笔小新 2024-09-28 14:43:45
-
本文目录一览:1、哪里有PHPMySQLDatabaseApacheServer一 ...
[详细]
蜡笔小新 2024-09-28 13:12:02
-
Linux文件目录和权限前言:Linux一般将文件可存取的身份分为三个类别,分别是ownergroupothers,根据权限划分,每个目录都可以拥有相对身份的-rwx[可读可写可执 ...
[详细]
蜡笔小新 2024-09-28 10:41:08
-
实验需求:配置mysql-mmm,实现mysql的高可用MySQL-MMM实现MySQL高可用http:www.linuxidc.comLinux201 ...
[详细]
蜡笔小新 2024-09-27 13:31:55
-
手机用户2502883445
这个家伙很懒,什么也没留下!