sql注入与转义的php函数代码


Posted in PHP onJune 17, 2013

sql注入:

正常情况下:

delete.php?id=3;

$sql = 'delete from news where id = '.$_GET['id'];

恶意情况:

delete.php?id=3 or 1;

$sql = 'delete from news where id = 3 or 1';  -------如此执行后,所有的记录将都被删除

 应该采取相关措施。。。比如用之前先判断是否是数字等等。

要使自己相信,从客户端传来的信息永远是不可靠的!!

转义:

有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义,转义成普通的字符,此时就要用到string addslashes ( string $str ),这个函数可以对某个变量进行转义。但是,如果对数组里的元素进行转义,就用foreach循环数组,如下:

foreach($_POST as $k=>$v) {
    
if(is_string($v)) {
        $_POST[$k] = addslashes($v);
    
}

}

但是如果数组中还包含数组,那就要递归进行转义了,此时用到

array_walk_recursive(array &$input , callback $funcname [, mixed $userdata ])

          

将用户自定义函数 funcname 应用到 array 数组中的每个单元。本函数会递归到更深层的数组中去。典型情况下 funcname 接受两个参数。input 参数的值作为第一个,键名作为第二个。如果提供了可选参数 userdata,将被作为第三个参数传递给 callback funcname。成功时返回 TRUE, 或者在失败时返回 FALSE

也就是说:用自定义的函数,至少要能接收两个参数,而addslashes()只能接收一个参数所以自定义一个函数如下:

function a(&$v,$k){




$v=addslashes($v);



}



array_walk_recursive(&$arr,'a');

 系统自动转义:

PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可

魔术引号被打开后,系统会自动对$_GET,$_POST,$_COOKIE数据进行转义,在不知情的情况下,再次进行手动转义的话,就转多了,要想合理的进行转义,就要首先判断,魔术符号是否已经打开了,用magic_quotes_gpc()进行判断,不需要传值,关闭返回0,关闭返回1

if(!get_magic_quotes_gpc()) {  // 如果魔术引号没开

    
function _addslashes(&$v,$k) {
       
 $v = addslashes($v);
  
  }
   
 array_walk_recursive(&$_GET,'_addslashes');
    
array_walk_recursive(&$_POST,'_addslashes');
   
 array_walk_recursive(&$_COOKIE,'_addslashes');

}
PHP 相关文章推荐
php gd2 上传图片/文字水印/图片水印/等比例缩略图/实现代码
May 15 PHP
PHP自定义函数收代码
Aug 01 PHP
PHP访问MYSQL数据库封装类(附函数说明)
Dec 04 PHP
CodeIgniter图像处理类的深入解析
Jun 17 PHP
PHP5全版本绕过open_basedir读文件脚本漏洞详细介绍
Jan 20 PHP
PHP网站开发中常用的8个小技巧
Feb 13 PHP
PHP中__autoload和Smarty冲突的简单解决方法
Apr 08 PHP
PHP图像识别技术原理与实现
Oct 27 PHP
详解PHP使用日期时间处理器Carbon人性化显示时间
Aug 10 PHP
深入解析Laravel5.5中的包自动发现Package Auto Discovery
Sep 13 PHP
关于laravel 子查询 & join的使用
Oct 16 PHP
Yii框架自定义数据库操作组件示例
Nov 11 PHP
Linux环境下搭建php开发环境的操作步骤
Jun 17 #PHP
PHP之短标签开启设置
Jun 17 #PHP
深入掌握include_once与require_once的区别
Jun 17 #PHP
php抓取页面的几种方法详解
Jun 17 #PHP
深入PHP magic quotes的详解
Jun 17 #PHP
php错误级别的设置方法
Jun 17 #PHP
PHP大小写问题:函数名和类名不区分,变量名区分
Jun 17 #PHP
You might like
如何使用PHP计算上一个月的今天
2013/05/23 PHP
显示程序执行时间php函数代码
2013/08/29 PHP
Cygwin中安装PHP方法步骤
2015/07/04 PHP
PHP小偷程序的设计与实现方法详解
2016/10/15 PHP
php版微信小店调用api示例代码
2016/11/12 PHP
php多进程中的阻塞与非阻塞操作实例分析
2020/03/04 PHP
JS setCapture 区域外事件捕捉
2010/03/18 Javascript
关于javascript中this关键字(翻译+自我理解)
2010/10/20 Javascript
一个javascript图片阅览组件
2010/11/09 Javascript
理解Javascript闭包
2013/11/01 Javascript
Javascript实现快速排序(Quicksort)的算法详解
2015/09/06 Javascript
js行号显示的文本框实现效果(兼容多种浏览器 )
2015/10/23 Javascript
jQuery+css实现非常漂亮的水平导航菜单效果
2016/07/27 Javascript
微信小程序中hidden不生效原因的解决办法
2017/04/26 Javascript
微信小程序中实现手指缩放图片的示例代码
2018/03/13 Javascript
详解koa2学习中使用 async 、await、promise解决异步的问题
2018/11/13 Javascript
JS实现简单移动端鼠标拖拽
2020/07/23 Javascript
[55:18]Liquid vs Chaos 2019国际邀请赛小组赛 BO2 第一场 8.15
2019/08/16 DOTA
使用k8s部署Django项目的方法步骤
2019/01/14 Python
对python For 循环的三种遍历方式解析
2019/02/01 Python
Python人工智能之路 之PyAudio 实现录音 自动化交互实现问答
2019/08/13 Python
详解如何在css3打包后自动追加前缀插件:autoprefixer
2018/12/18 HTML / CSS
关于css中margin的值和垂直外边距重叠问题
2020/10/27 HTML / CSS
HTML5利用约束验证API来检查表单的输入数据的代码实例
2016/12/20 HTML / CSS
澳大利亚最好的厨具店:Kitchen Warehouse
2018/03/13 全球购物
PHP中如何创建和修改数组
2012/05/02 面试题
环境工程求职简历的自我评价范文
2013/10/24 职场文书
大学生找工作推荐信范文
2013/11/28 职场文书
党员思想汇报范文
2013/12/30 职场文书
庆元旦广播稿
2014/02/10 职场文书
运动会通讯稿500字
2014/02/20 职场文书
工作鉴定评语
2014/05/04 职场文书
责任胜于能力演讲稿
2014/05/20 职场文书
党员教师群众路线思想汇报范文
2014/10/28 职场文书
英文自荐信范文
2015/03/25 职场文书
MySQL数据库超时设置配置的方法实例
2021/10/15 MySQL