php如何预防sql注入漏洞 php sql注入防御

主机教程 建站分享 2年前 (2022-09-18) 198次浏览

文章摘要:php如何预防sql注入漏洞 php sql注入防御

php预防sql注入漏洞的方法: 利用magic_quotes_gpc指令或它的搭挡addslashes()函 […]

php预防sql注入漏洞的方法:

利用magic_quotes_gpc指令或它的搭挡addslashes()函数进行过滤,例如:

<?php

//php防注入和XSS攻击通用过滤

$_GET     && SafeFilter($_GET);

$_POST    && SafeFilter($_POST);

$_COOKIE  && SafeFilter($_COOKIE);

  

function SafeFilter (&$arr) 

{

   $ra=Array('/([x00-x08,x0b-x0c,x0e-x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/'

   ,'/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/'

   ,'/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/',

   '/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/'

   ,'/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');

     

   if (is_array($arr))

   {

     foreach ($arr as $key => $value) 

     {

        if (!is_array($value))

        {

          if (!get_magic_quotes_gpc())  //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。

          {

             $value = addslashes($value); //给单引号(')、双引号(")、反斜线()与 NUL(NULL 字符)

             加上反斜线转义

          }

          $value   = preg_replace($ra,'',$value);     //删除非打印字符,粗暴式过滤xss可疑字符串

          $arr[$key] = htmlentities(strip_tags($value)); //去除HTML和PHP标记并转换为HTML实体

        }

        else

        {

          SafeFilter($arr[$key]);

        }

     }

   }

}

?>


声明:
若非注明,本站文章源于互联网收集整理和网友分享发布,如有侵权,请联系站长处理。
文章名称:php如何预防sql注入漏洞 php sql注入防御
文章链接:http://www.7966.org/post/15360.html
转载请注明出处

喜欢 (0)