好用的PHP防注入漏洞過濾函式

<?php

//php整站防注入程式，需要在公共檔案中require_once本檔案

//判斷magic_quotes_gpc狀態

if (@get_magic_quotes_gpc ())

$_server = sec ( $_server );

function sec(&$array)

} else if (is_string ( $array )) else if (is_numeric ( $array ))

return $array;

}//整型過濾函式

function num_check($id) //是否為空的判斷

else if (inject_check ( $id )) //注入判斷

else if (! is_numetic ( $id ))

//數字判斷

$id = intval ( $id );

//整型化

return $id;

}//字元過濾函式

function str_check($str)

//注入判斷

$str = htmlspecialchars ( $str );

//轉換html

return $str;

}function search_check($str)

//表單過濾函式

function post_check($str, $min, $max) else if (isset ( $max ) && strlen ( $str ) > $max)

return stripslashes_array ( $str );

}//防注入函式

function inject_check($sql_str)

function stripslashes_array(&$array)

} else if (is_string ( $array ))

return $array;

}?>

php防注入函式隱患

real escape string也有黑客可以繞過的辦法，如果你的系統仍在用上面三個方法，那麼我的這篇博文就有了意義，以提醒所有後來者繞過這個坑。出於為後人栽樹而不是挖坑的考慮，給出php以及mysql的版本資訊，以免將來 問題 不再是 問題 了。來防注入已經不用我說了，這種 黑名單 式的防禦已經...

SQL注入漏洞的防案

1 輸入過濾，對於整數，判斷變數是否符合 0 9 的值 其他限定值，也可以進行合法性校驗 對於字串，對sql語句特殊字元進行轉義 單引號轉成兩個單引號，雙引號轉成兩個雙引號 mysql也有類似的轉義函式mysql escape string和mysql real escape string。asp的...

php用於防SQL注入的幾個函式

不要相信使用者的在登陸中輸入的內容，需要對使用者的輸入進行處理 sql注入 or 1 1 防止sql注入的幾個函式 addslashes string 用反斜線引用字串中的特殊字元 username addslashes username mysql escape string string 用反斜...