编程 PHP

PHP防注入安全代码

Posted in PHP onApril 09, 2008

简述：/*************************
说明：
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能：防注入
**************************/

<?php      //要过滤的非法字符      
$ArrFiltrate=array("'",";","union");      
//出错后要跳转的url,不填则默认前一页      
$StrGoUrl="";      
//是否存在数组中的值      
function FunStringExist($StrFiltrate,$ArrFiltrate){      
foreach ($ArrFiltrate as $key=>$value){      
  if (eregi($value,$StrFiltrate)){      
    return true;      
  }      
}      
return false;      
}      
//合并$_POST 和 $_GET      
if(function_exists(array_merge)){      
  $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);      
}else{      
  foreach($HTTP_POST_VARS as $key=>$value){      
    $ArrPostAndGet[]=$value;      
  }      
  foreach($HTTP_GET_VARS as $key=>$value){      
    $ArrPostAndGet[]=$value;      
  }      
}      
//验证开始      
foreach($ArrPostAndGet as $key=>$value){      
  if (FunStringExist($value,$ArrFiltrate)){      
    echo "<script language=\"javascript\">alert(\"非法字符\");</script>";      
    if (emptyempty($StrGoUrl)){      
    echo "<script language=\"javascript\">history.go(-1);</script>";      
    }else{      
    echo "<script language=\"javascript\">window.location=\"".$StrGoUrl."\";</script>";      
    }      
    exit;      
  }      
}      
?>

保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可

方法2

/* 过滤所有GET过来变量 */     
foreach ($_GET as $get_key=>$get_var)      
{      
if (is_numeric($get_var)) {      
  $get[strtolower($get_key)] = get_int($get_var);      
} else {      
  $get[strtolower($get_key)] = get_str($get_var);      
}      
}      /* 过滤所有POST过来的变量 */     
foreach ($_POST as $post_key=>$post_var)      
{      
if (is_numeric($post_var)) {      
  $post[strtolower($post_key)] = get_int($post_var);      
} else {      
  $post[strtolower($post_key)] = get_str($post_var);      
}      
}      
/* 过滤函数 */     
//整型过滤函数      
function get_int($number)      
{      
    return intval($number);      
}      
//字符串型过滤函数      
function get_str($string)      
{      
    if (!get_magic_quotes_gpc()) {      
return addslashes($string);      
    }      
    return $string;      
}

PHP防注入安全代码

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

改进的IP计数器

Oct 09 PHP

PHP的FTP学习(四)

Oct 09 PHP

PHPMyadmin 配置文件详解(配置)

Dec 03 PHP

php笔记之：php数组相关函数的使用

Apr 26 PHP

PHP在线生成二维码(google api)的实现代码详解

Jun 04 PHP

PHP修改session_id示例代码

Jan 08 PHP

php几个预定义变量$_SERVER用法小结

Nov 07 PHP

php实现背景图上添加圆形logo图标的方法

Nov 17 PHP

thinkPHP5.0框架引入Traits功能实例分析

Mar 18 PHP

PHP命名空间简单用法示例

Dec 28 PHP

PHP开发的文字水印，缩略图，图片水印实现类与用法示例

Apr 12 PHP

Yii2框架中一些折磨人的坑

Dec 15 PHP

PHP中用header图片地址简单隐藏图片源地址

Apr 09 #PHP

PHP中的extract的作用分析

Apr 09 #PHP

如何在PHP程序中防止盗链

Apr 09 #PHP

php的access操作类

Apr 09 #PHP

php时间不正确的解决方法

Apr 09 #PHP

php Ajax乱码

Apr 09 #PHP

PHP提取中文首字母

Apr 09 #PHP