sql 防止注入函数

更新时间：2016年11月25日 15:25 点击：2077

这里二个函数是利用正则过滤sql关键词，并判断用户提交信息的来路进行处理，可以有效的防止sql注入。

//防止注入

代码如下	复制代码
function inject_check($sql_str) { //防止注入 $check = eregi('select\|insert\|update\|delete\|'\|/\|\|../\|./\|union\|into\|load_file\|outfile', $sql_str); if ($check) { echo "输入非法注入内容！"; exit (); } else { return $sql_str; } }

//检查来路

代码如下	复制代码
function checkurl() { //检查来路 if (preg_replace("/https教程?://([^:/]+)./i", "\1", $_server['http_referer']) !== preg_replace("/([^:]+)./", "\1", $_server['http_host'])) { header("location: http://www.111cn.net"); exit(); } }

要过滤字符串中所有的html标签有两种方法一种是我们自己写一个函数，用正则过滤，一个是用php自带函数strip_tags哦。

function clear_html_label($html)
{
$search = array ("'<script[^>]*?>.*?</script>'si", "'<[/!]*?[^<>]*?>'si", "'([rn])[s]+'", "'&(quot|#34);'i", "'&(amp|#38);'i", "'&(lt|#60);'i", "'&(gt|#62);'i", "'&(nbsp|#160);'i", "'&(iexcl|#161);'i", "'&(cent|#162);'i", "'&(pound|#163);'i", "'&(copy|#169);'i", "'&#(d+);'e");
$replace = array ("", "", "", """, "&", "<", ">", " ", chr(161), chr(162), chr(163), chr(169), "chr()");

return preg_replace($search, $replace, $html);
}

//实例应用

代码如下	复制代码
$string ='aaa<br /> <script>fdsafsa'; echo clear_html_label($string);//aaa fdsafsa //利用php自带函数strip_tags(); echo strip_tags($string);//aaa fdsafsa

/*
总结，
上面二个函数得出的结果完全相同，一个是用户自定义的过滤所有html函数，一个是php内置函数，但在效绿上来说php的strip_tags()函数，肯定要高很多。至少为什么我就不说多了。
*/

代码如下

复制代码

if(!function_exists('daddslashes')) {
function daddslashes($string, $force = 0) {
return uc_addslashes($string, $force);
}
}

//php 过滤函数应用实例111cn.net

$get = $_get;
$g = uc_addslashes($get, $force = 0, $strip = false);

//过滤post提交数据

$post = $_post;
$p = uc_addslashes($post, $force = 0, $strip = false);

方法一过滤html自定义函数

代码如下	复制代码
function ihtmlspecialchars($string) { if(is_array($string)) { foreach($string as $key => $val) { $string[$key] = ihtmlspecialchars($val); } } else { $string = preg_replace('/&((#(d{3,5}\|x[a-fa-f0-9]{4})\|[a-za-z][a-z0-9]{2,5});)/', '&\1', str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string)); } return $string;

方法二

代码如下

复制代码

// $rptype = 0 表示仅替换 html标记
// $rptype = 1 表示替换 html标记同时去除连续空白字符
// $rptype = 2 表示替换 html标记同时去除所有空白字符
// $rptype = -1 表示仅替换 html危险的标记
function htmlreplace($str,$rptype=0)
{
$str = strips教程lashes($str);
if($rptype==0)
{
$str = htmlspecialchars($str);
}
else if($rptype==1)
{
$str = htmlspecialchars($str);
$str = str_replace(" ",' ',$str);
$str = ereg_replace("[rnt ]{1,}",' ',$str);
}
else if($rptype==2)
{
$str = htmlspecialchars($str);
$str = str_replace(" ",'',$str);
$str = ereg_replace("[rnt ]",'',$str);
}
else
{
$str = ereg_replace("[rnt ]{1,}",' ',$str);
$str = eregi_replace('script','ｓｃｒｉｐｔ',$str);
$str = eregi_replace("<[/]{0,1}(link|meta|ifr|fra)[^>]*>",'',$str);
}
return addslashes($str);
}

其它方法

php教程过滤不安全字符函数

代码如下

复制代码

function uh($str)
{
    $farr = array(
        "/s+/",//过滤多余的空白
        "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isu",//过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤
        "/(<[^>]*)on[a-za-z]+s*=([^>]*>)/isu",//过滤网页特效的on事件
    );
   $tarr = array(
        " ",
        "＜\1\2\3＞", //如果要直接清除不安全的标签，这里可以留空
        "\1\2",
   );

$str = preg_replace($farr,$tarr,$str);
return $str;

<!doctype html public "-//w3c//dtd xhtml 1.0 transitional//en" "http://www.w3.org/tr/xhtml1/dtd/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="content-type" content="text/html; charset=gb2312" />
<title>几种防御php程序被木马攻击配置详解方法</title>
</head>

<body>
防止跳出web目录
　　首先修改httpd.conf，如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：

　　php_admin_value open_basedir /usr/local/apache

　　/htdocs

　　这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的错误：

　　warning: open_basedir restriction in effect. file is in wrong directory in

　　/usr/local/apache/htdocs/open.php on line 4

　　等等。

2、防止php木马执行webshell
　　打开safe_mode，

　　在，php.ini中设置

　　disable_functions= passthru，exec，shell_exec，system

　　二者选一即可，也可都选

3、防止php木马读写文件目录
　　在php.ini中的

　　disable_functions= passthru，exec，shell_exec，system

　　后面加上php处理文件的函数

　　主要有

　　fopen，mkdir，rmdir，chmod，unlink，dir

　　fopen，fread，fclose，fwrite，file_exists

　　closedir，is_dir，readdir.opendir

　　fileperms.copy，unlink，delfile

　　即成为

　　disable_functions= passthru，exec，shell_exec，system，fopen，mkdir，rmdir，chmod，unlink，dir

　　，fopen，fread，fclose，fwrite，file_exists

　　，closedir，is_dir，readdir.opendir

　　，fileperms.copy，unlink，delfile

　　ok，大功告成，php木马拿我们没辙了，遗憾的是这样的话，利用文本数据库教程的那些东西就都不能用了。

　　如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

　　net user apache fuckmicrosoft /add

　　net localgroup users apache /del

　　ok.我们建立了一个不属于任何组的用户apche。

　　我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，重启apache服务，ok，apache运行在低权限下了。

　　实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了
</body>
</html>

[!--infotagslink--]

上一篇: 一款实用的php mysql数据库连接类

下一篇: php通用防注入与注入详细说明

phpems SQL注入(cookies)分析研究
PHPEMS（PHP Exam Management System）在线模拟考试系统基于PHP+Mysql开发，主要用于搭建模拟考试平台，支持多种题型和展现方式，是国内首款支持题冒题和自动评分与教师评分相...2016-11-25
ASP/PHP sql注入语句整理大全
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作标准注入语句1.判...2016-11-25
php正确禁用eval函数与误区介绍
eval函数在php中是一个函数并不是系统组件函数，我们在php.ini中的disable_functions是无法禁止它的，因这他不是一个php_function哦。 eval()针对php安全来说具有很...2016-11-25
php中eval()函数操作数组的方法
在php中eval是一个函数并且不能直接禁用了，但eval函数又相当的危险了经常会出现一些问题了，今天我们就一起来看看eval函数对数组的操作例子， <?php $data="array...2016-11-25
Python astype(np.float)函数使用方法解析
这篇文章主要介绍了Python astype(np.float)函数使用方法解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下...2020-06-08
PHP防止SQL注入的例子
防止SQL注入是我们程序开发人员必须要做的事情了，今天我们就来看一篇关于PHP防止SQL注入的例子了，具体的实现防过滤语句可以参考下面来看看吧。使用prepared以及参...2016-11-25
Python中的imread()函数用法说明
这篇文章主要介绍了Python中的imread()函数用法说明，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧...2021-03-16
C# 中如何取绝对值函数
本文主要介绍了C# 中取绝对值的函数。具有很好的参考价值。下面跟着小编一起来看下吧...2020-06-25
C#学习笔记- 随机函数Random()的用法详解
下面小编就为大家带来一篇C#学习笔记- 随机函数Random()的用法详解。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧...2020-06-25
金额阿拉伯数字转换为中文的自定义函数
CREATE FUNCTION ChangeBigSmall (@ChangeMoney money) RETURNS VarChar(100) AS BEGIN Declare @String1 char(20) Declare @String2 char...2016-11-25
C++中 Sort函数详细解析
这篇文章主要介绍了C++中Sort函数详细解析，sort函数是algorithm库下的一个函数，sort函数是不稳定的，即大小相同的元素在排序后相对顺序可能发生改变...2022-08-18
Android开发中findViewById()函数用法与简化
findViewById方法在android开发中是获取页面控件的值了，有没有发现我们一个页面控件多了会反复研究写findViewById呢，下面我们一起来看它的简化方法。 Android中Fin...2016-09-20
PHP用strstr()函数阻止垃圾评论(通过判断a标记)
strstr() 函数搜索一个字符串在另一个字符串中的第一次出现。该函数返回字符串的其余部分（从匹配点）。如果未找到所搜索的字符串，则返回 false。语法：strstr(string,search)参数string，必需。规定被搜索的字符串。参数sea...2013-10-04
PHP函数分享之curl方式取得数据、模拟登陆、POST数据
废话不多说直接上代码复制代码代码如下:/********************** curl 系列 ***********************///直接通过curl方式取得数据(包含POST、HEADER等)/* * $url: 如果非数组，则为http;如是数组，则为https * $header:...2014-06-07
php中的foreach函数的2种用法
Foreach 函数（PHP4/PHP5）foreach 语法结构提供了遍历数组的简单方式。foreach 仅能够应用于数组和对象，如果尝试应用于其他数据类型的变量，或者未初始化的变量将发出错误信息。...2013-09-28
C语言中free函数的使用详解
free函数是释放之前某一次malloc函数申请的空间，而且只是释放空间，并不改变指针的值。下面我们就来详细探讨下...2020-04-25
PHP函数strip_tags的一个bug浅析
PHP 函数 strip_tags 提供了从字符串中去除 HTML 和 PHP 标记的功能，该函数尝试返回给定的字符串 str 去除空字符、HTML 和 PHP 标记后的结果。由于 strip_tags() 无法实际验证 HTML，不完整或者破损标签将导致更多的数...2014-05-31
PHP加密解密函数详解
分享一个PHP加密解密的函数，此函数实现了对部分变量值的加密的功能。加密代码如下： /* *功能：对字符串进行加密处理 *参数一：需要加密的内容 *参数二：密钥 */ function passport_encrypt($str,$key){ //加密函数 srand(...2015-10-30
SQL Server中row_number函数的常见用法示例详解
这篇文章主要给大家介绍了关于SQL Server中row_number函数的常见用法，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧...2020-12-08
php的mail函数发送UTF-8编码中文邮件时标题乱码的解决办法
最近遇到一个问题，就是在使用php的mail函数发送utf-8编码的中文邮件时标题出现乱码现象，而邮件正文却是正确的。最初以为是页面编码的问题，发现页面编码utf-8没有问题啊，找了半天原因，最后找到了问题所在。 1.使用 PEAR 的...2015-10-21

sql 防止注入函数

相关文章

阁下可能感兴趣的内容

推荐阅读