欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

php防止sql注入函数(discuz)

程序员文章站 2024-02-11 19:39:58
...
  1. $magic_quotes_gpc = get_magic_quotes_gpc();

  2. @extract(daddslashes($_COOKIE));
  3. @extract(daddslashes($_POST));
  4. @extract(daddslashes($_GET));
  5. if(!$magic_quotes_gpc) {
  6. $_FILES = daddslashes($_FILES);
  7. }
  8. function daddslashes($string, $force = 0) {

  9. if(!$GLOBALS['magic_quotes_gpc'] || $force) {
  10. if(is_array($string)) {
  11. foreach($string as $key => $val) {
  12. $string[$key] = daddslashes($val, $force);
  13. }
  14. } else {
  15. $string = addslashes($string);
  16. }
  17. }
  18. return $string;
  19. }
复制代码

大家可以增强下面的代码加以保护服务器的安全,PHP防止SQL注入安全函数十分重要!

  1. /*

  2. 函数名称:inject_check()
  3. 函数作用:检测提交的值是不是含有SQL注射的字符,防止注射,保护服务器安全
  4. 参  数:$sql_str: 提交的变量 bbs.it-home.org
  5. 返 回 值:返回检测结果,ture or false
  6. */
  7. function inject_check($sql_str) {
  8. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤
  9. }
  10. /*

  11. 函数名称:verify_id()
  12. 函数作用:校验提交的ID类值是否合法
  13. 参  数:$id: 提交的ID值
  14. 返 回 值:返回处理后的ID
  15. */
  16. function verify_id($id=null) {
  17. if (!$id) { exit('没有提交参数!'); } // 是否为空判断
  18. elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断
  19. elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断
  20. $id = intval($id); // 整型化
  21. return $id;

  22. }
  23. /*

  24. 函数名称:str_check()
  25. 函数作用:对提交的字符串进行过滤
  26. 参  数:$var: 要处理的字符串
  27. 返 回 值:返回过滤后的字符串
  28. */
  29. function str_check( $str ) {
  30. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否打开
  31. $str = addslashes($str); // 进行过滤
  32. }
  33. $str = str_replace("_", "\_", $str); // 把 '_'过滤掉
  34. $str = str_replace("%", "\%", $str); // 把 '%'过滤掉
  35. return $str;

  36. }
  37. /*

  38. 函数名称:post_check()
  39. 函数作用:对提交的编辑内容进行处理
  40. 参  数:$post: 要提交的内容
  41. 返 回 值:$post: 返回过滤后的内容
  42. */
  43. function post_check($post) {
  44. if (!get_magic_quotes_gpc()) { // 判断magic_quotes_gpc是否为打开
  45. $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
  46. }
  47. $post = str_replace("_", "\_", $post); // 把 '_'过滤掉
  48. $post = str_replace("%", "\%", $post); // 把 '%'过滤掉
  49. $post = nl2br($post); // 回车转换
  50. $post = htmlspecialchars($post); // html标记转换
  51. return $post;

  52. }
复制代码

附,php防止sql注入代码 放到公用调用文件(如conn数据库链接文件),对所有GET或POST的数据进行过滤特殊字符串,以实现简单有效的SQL注入过滤。 代码:

  1. Function inject_check($sql_str) {
  2. return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
  3. }
  4. if (inject_check($_SERVER['QUERY_STRING'])==1 or inject_check(file_get_contents("php://input"))==1){
  5. //echo "警告 非法访问!";
  6. header("Location: Error.php");
  7. }
复制代码