sql注入与转义的php函数代码


Posted in PHP onJune 17, 2013

sql注入:

正常情况下:

delete.php?id=3;

$sql = 'delete from news where id = '.$_GET['id'];

恶意情况:

delete.php?id=3 or 1;

$sql = 'delete from news where id = 3 or 1';  -------如此执行后,所有的记录将都被删除

 应该采取相关措施。。。比如用之前先判断是否是数字等等。

要使自己相信,从客户端传来的信息永远是不可靠的!!

转义:

有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义,转义成普通的字符,此时就要用到string addslashes ( string $str ),这个函数可以对某个变量进行转义。但是,如果对数组里的元素进行转义,就用foreach循环数组,如下:

foreach($_POST as $k=>$v) {
    
if(is_string($v)) {
        $_POST[$k] = addslashes($v);
    
}

}

但是如果数组中还包含数组,那就要递归进行转义了,此时用到

array_walk_recursive(array &$input , callback $funcname [, mixed $userdata ])

          

将用户自定义函数 funcname 应用到 array 数组中的每个单元。本函数会递归到更深层的数组中去。典型情况下 funcname 接受两个参数。input 参数的值作为第一个,键名作为第二个。如果提供了可选参数 userdata,将被作为第三个参数传递给 callback funcname。成功时返回 TRUE, 或者在失败时返回 FALSE

也就是说:用自定义的函数,至少要能接收两个参数,而addslashes()只能接收一个参数所以自定义一个函数如下:

function a(&$v,$k){




$v=addslashes($v);



}



array_walk_recursive(&$arr,'a');

 系统自动转义:

PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可

魔术引号被打开后,系统会自动对$_GET,$_POST,$_COOKIE数据进行转义,在不知情的情况下,再次进行手动转义的话,就转多了,要想合理的进行转义,就要首先判断,魔术符号是否已经打开了,用magic_quotes_gpc()进行判断,不需要传值,关闭返回0,关闭返回1

if(!get_magic_quotes_gpc()) {  // 如果魔术引号没开

    
function _addslashes(&$v,$k) {
       
 $v = addslashes($v);
  
  }
   
 array_walk_recursive(&$_GET,'_addslashes');
    
array_walk_recursive(&$_POST,'_addslashes');
   
 array_walk_recursive(&$_COOKIE,'_addslashes');

}
PHP 相关文章推荐
ftp类(myftp.php)
Oct 09 PHP
ubuntu下编译安装xcache for php5.3 的具体操作步骤
Jun 18 PHP
zf框架的Filter过滤器使用示例
Mar 13 PHP
php+mysql实现用户注册登陆的方法
Jan 03 PHP
Laravel 5 框架入门(四)完结篇
Apr 09 PHP
Laravel使用Caching缓存数据减轻数据库查询压力的方法
Mar 15 PHP
PHP实现JS中escape与unescape的方法
Jul 11 PHP
利用PHP自动生成印有用户信息的名片
Aug 01 PHP
PHP基于堆栈实现的高级计算器功能示例
Sep 15 PHP
laravel ORM 只开启created_at的几种方法总结
Jan 29 PHP
Laravel 登录后清空COOKIE的操作方法
Oct 14 PHP
PHP实现简单注册登录系统
Dec 28 PHP
Linux环境下搭建php开发环境的操作步骤
Jun 17 #PHP
PHP之短标签开启设置
Jun 17 #PHP
深入掌握include_once与require_once的区别
Jun 17 #PHP
php抓取页面的几种方法详解
Jun 17 #PHP
深入PHP magic quotes的详解
Jun 17 #PHP
php错误级别的设置方法
Jun 17 #PHP
PHP大小写问题:函数名和类名不区分,变量名区分
Jun 17 #PHP
You might like
最令PHP初学者们头痛的十四个问题
2007/01/15 PHP
《PHP编程最快明白》第八讲:php启发和小结
2010/11/01 PHP
php5.5新数组函数array_column使用
2013/07/08 PHP
PHP中预定义的6种接口介绍
2015/05/12 PHP
PHP+redis实现微博的拉模型案例详解
2019/07/10 PHP
将CKfinder整合进CKEditor3.0的新方法
2010/01/10 Javascript
js arguments,jcallee caller用法总结
2013/11/30 Javascript
jQuery实现的图片分组切换焦点图插件
2015/01/06 Javascript
jQuery 获取页面li数组并删除不在数组中的key
2016/08/02 Javascript
JS实现动态增加和删除li标签行的实例代码
2016/10/16 Javascript
JS判断指定dom元素是否在屏幕内的方法实例
2017/01/23 Javascript
学习使用jQuery表单验证插件和日历插件
2017/02/13 Javascript
Underscore之Array_动力节点Java学院整理
2017/07/10 Javascript
javascript判断一个变量是数组还是对象
2019/04/10 Javascript
使用localStorage替代cookie做本地存储
2019/09/25 Javascript
vue+elementUI动态生成面包屑导航教程
2019/11/04 Javascript
JavaScript ES6 Class类实现原理详解
2020/05/08 Javascript
[51:14]LGD vs VP 2018国际邀请赛淘汰赛BO3 第一场 8.21
2018/08/22 DOTA
[07:37]DOTA2-DPC中国联赛2月2日Recap集锦
2021/03/11 DOTA
Python使用稀疏矩阵节省内存实例
2014/06/27 Python
python如何实现内容写在图片上
2018/03/23 Python
详解python解压压缩包的五种方法
2019/07/05 Python
对Django中的权限和分组管理实例讲解
2019/08/16 Python
Python全面分析系统的时域特性和频率域特性
2020/02/26 Python
Python3爬虫RedisDump的安装步骤
2021/02/20 Python
预订从美国飞往印度的机票:MyTicketsToIndia
2017/05/19 全球购物
有个性的自我评价范文
2013/11/15 职场文书
军校大学生个人的自我评价
2014/02/17 职场文书
社区精神文明建设汇报材料
2014/08/17 职场文书
教师自我剖析材料范文
2014/09/30 职场文书
单位作风建设自查报告
2014/10/23 职场文书
高三英语复习计划
2015/01/19 职场文书
党风廉洁教育心得体会
2016/01/20 职场文书
《金色的草地》教学反思
2016/02/17 职场文书
浅谈Python实现opencv之图片色素的数值运算和逻辑运算
2021/06/23 Python
微信告警的zabbix监控系统 监控整个NGINX集群
2022/04/18 Servers