php如何做sql过滤-侯体宗的博客

php如何做sql过滤
php / 管理员发布于 7年前 135

php如何做sql过滤

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。因此，在执行sql语句前，一定要对用户输入的数据进行过滤处理。

防止sql注入的函数，过滤掉那些非法的字符,提高sql安全性，同时也可以过滤XSS的攻击。

function filter($str){    if (empty($str)) return false;    $str = htmlspecialchars($str);    $str = str_replace( '/', "", $str);    $str = str_replace( '"', "", $str);    $str = str_replace( '(', "", $str);    $str = str_replace( ')', "", $str);    $str = str_replace( 'CR', "", $str);    $str = str_replace( 'ASCII', "", $str);    $str = str_replace( 'ASCII 0x0d', "", $str);    $str = str_replace( 'LF', "", $str);    $str = str_replace( 'ASCII 0x0a', "", $str);    $str = str_replace( ',', "", $str);    $str = str_replace( '%', "", $str);    $str = str_replace( ';', "", $str);    $str = str_replace( 'eval', "", $str);    $str = str_replace( 'open', "", $str);    $str = str_replace( 'sysopen', "", $str);    $str = str_replace( 'system', "", $str);    $str = str_replace( '$', "", $str);    $str = str_replace( "'", "", $str);    $str = str_replace( "'", "", $str);    $str = str_replace( 'ASCII 0x08', "", $str);    $str = str_replace( '"', "", $str);    $str = str_replace( '"', "", $str);    $str = str_replace("", "", $str);    $str = str_replace("&gt", "", $str);    $str = str_replace("&lt", "", $str);    $str = str_replace("<SCRIPT>", "", $str);    $str = str_replace("</SCRIPT>", "", $str);    $str = str_replace("<script>", "", $str);    $str = str_replace("</script>", "", $str);    $str = str_replace("select","",$str);    $str = str_replace("join","",$str);    $str = str_replace("union","",$str);    $str = str_replace("where","",$str);    $str = str_replace("insert","",$str);    $str = str_replace("delete","",$str);    $str = str_replace("update","",$str);    $str = str_replace("like","",$str);    $str = str_replace("drop","",$str);    $str = str_replace("DROP","",$str);    $str = str_replace("create","",$str);    $str = str_replace("modify","",$str);    $str = str_replace("rename","",$str);    $str = str_replace("alter","",$str);    $str = str_replace("cas","",$str);    $str = str_replace("&","",$str);    $str = str_replace(">","",$str);    $str = str_replace("<","",$str);    $str = str_replace(" ",chr(32),$str);    $str = str_replace(" ",chr(9),$str);    $str = str_replace("    ",chr(9),$str);    $str = str_replace("&",chr(34),$str);    $str = str_replace("'",chr(39),$str);    $str = str_replace("<br />",chr(13),$str);    $str = str_replace("''","'",$str);    $str = str_replace("css","'",$str);    $str = str_replace("CSS","'",$str);    $str = str_replace("<!--","",$str);    $str = str_replace("convert","",$str);    $str = str_replace("md5","",$str);    $str = str_replace("passwd","",$str);    $str = str_replace("password","",$str);    $str = str_replace("../","",$str);    $str = str_replace("./","",$str);    $str = str_replace("Array","",$str);    $str = str_replace("or 1='1'","",$str);    $str = str_replace(";set|set&set;","",$str);    $str = str_replace("`set|set&set`","",$str);    $str = str_replace("--","",$str);    $str = str_replace("OR","",$str);    $str = str_replace('"',"",$str);    $str = str_replace("*","",$str);    $str = str_replace("-","",$str);    $str = str_replace("+","",$str);    $str = str_replace("/","",$str);    $str = str_replace("=","",$str);    $str = str_replace("'/","",$str);    $str = str_replace("-- ","",$str);    $str = str_replace(" -- ","",$str);    $str = str_replace(" --","",$str);    $str = str_replace("(","",$str);    $str = str_replace(")","",$str);    $str = str_replace("{","",$str);    $str = str_replace("}","",$str);    $str = str_replace("-1","",$str);    $str = str_replace("1","",$str);    $str = str_replace(".","",$str);    $str = str_replace("response","",$str);    $str = str_replace("write","",$str);    $str = str_replace("|","",$str);    $str = str_replace("`","",$str);    $str = str_replace(";","",$str);    $str = str_replace("etc","",$str);    $str = str_replace("root","",$str);    $str = str_replace("//","",$str);    $str = str_replace("!=","",$str);    $str = str_replace("$","",$str);    $str = str_replace("&","",$str);    $str = str_replace("&&","",$str);    $str = str_replace("==","",$str);    $str = str_replace("#","",$str);    $str = str_replace("@","",$str);    $str = str_replace("mailto:","",$str);    $str = str_replace("CHAR","",$str);    $str = str_replace("char","",$str);    return $str;}

更加简便的防止sql注入的方法（推荐使用这个）：

 if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开     {        $post = addslashes($name); // magic_quotes_gpc没有打开的时候把数据过滤     }       $name = str_replace("_", "\_", $name); // 把 '_'过滤掉       $name = str_replace("%", "\%", $name); // 把' % '过滤掉       $name = nl2br($name); // 回车转换       $name= htmlspecialchars($name); // html标记转换          return $name;

PHP防XSS 防SQL注入的代码

/** * 过滤参数 * @param string $str 接受的参数 * @return string */static public function filterWords($str){    $farr = array("/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU","/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU","/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"    );    $str = preg_replace($farr,'',$str);    return $str;}   /** * 过滤接受的参数或者数组,如$_GET,$_POST * @param array|string $arr 接受的参数或者数组 * @return array|string */static public function filterArr($arr){    if(is_array($arr)){        foreach($arr as $k => $v){$arr[$k] = self::filterWords($v);        }    }else{        $arr = self::filterWords($v);    }    return $arr;}

在防止被注入攻击时，常会用到函数：htmlspecialchars()和addslashes() 、trim()函数。这两个函数都是对特殊字符进行转义。

1）addslashes()作用及使用

addslashes()通常用于防止sql注入，它可对通过get，post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义
如：如变量$str=$_POST["str"];的值为：bb' or 1='1。通过addslashes()函数过滤后会变为：bb\' or 1=\'1；

2）htmlspecialchars()作用及使用

htmlspecialchars()也是对字符进行转义，与addslashes（）不同的是htmlspecialchars()是将特殊字符用引用实体替换。
如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script&gt

3）addslashes()与htmlspecialchars()的区别

除了两个函数的转义方式不同外，它们的使用也不同。
addslashes()通过用于防止sql语句注入，在执行sql语句前对通过get、post和cookie传递来的参数中的单引号，双引号，\ 和null进行转义。
但sql执行成功后，插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本，当这些脚本被读取出来时还是会被执行。
这时我们可对读取出来的数据使用htmlspecialchars()进行过滤，避免执行被注入的脚本。

更多PHP相关知识，请访问！

以上就是php如何做sql过滤的详细内容，更多请关注其它相关文章！

上一条：
php如何响应ajax请求
下一条：
phpcms支持php7吗？

0条评论 (评论内容有缓存机制,请悉知!)

最新最热

相关文章
Laravel从Accel获得5700万美元A轮融资(0个评论)
PHP 8.4 Alpha 1现已发布！(0个评论)
用Time Warden监控PHP中的代码处理时间(0个评论)
在PHP中使用array_pop + yield实现读取超大型目录功能示例(0个评论)
Property Hooks RFC在PHP 8.4中越来越接近现实(0个评论)

近期文章
在go中实现一个常用的先进先出的缓存淘汰算法示例代码(0个评论)
在go+gin中使用"github.com/skip2/go-qrcode"实现url转二维码功能(0个评论)
在go语言中使用api.geonames.org接口实现根据国际邮政编码获取地址信息功能(1个评论)
在go语言中使用github.com/signintech/gopdf实现生成pdf分页文件功能(0个评论)
gmail发邮件报错:534 5.7.9 Application-specific password required...解决方案(0个评论)
欧盟关于强迫劳动的规定的官方举报渠道及官方举报网站(0个评论)
在go语言中使用github.com/signintech/gopdf实现生成pdf文件功能(0个评论)
Laravel从Accel获得5700万美元A轮融资(0个评论)
在go + gin中gorm实现指定搜索/区间搜索分页列表功能接口实例(0个评论)
在go语言中实现IP/CIDR的ip和netmask互转及IP段形式互转及ip是否存在IP/CIDR(0个评论)

近期评论
122 在
学历：一种延缓就业设计，生活需求下的权衡之选中评论工作几年后，报名考研了，到现在还没认真学习备考，迷茫中。作为一名北漂互联网打工人..
123 在
Clash for Windows作者删库跑路了，github已404中评论按理说只要你在国内，所有的流量进出都在监控范围内，不管你怎么隐藏也没用，想搞你分..
原梓番博客在
在Laravel框架中使用模型Model分表最简单的方法中评论好久好久都没看友情链接申请了，今天刚看，已经添加。..
博主在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了，可以看看近期评论的其他文章..
1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论网站不能打开，博主百忙中能否发个APP下载链接，佛跳墙或极光..

Top