输入值/表单提交参数过滤有效防止sql注入的方法
2018-10-12 13:57
671 查看
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法:
/**
* 过滤sql与php文件操作的关键字
* @param string $string
* @return string
* @author zyb <zyb_icanplay@163.com>
*/
private function filter_keyword( $string ) {
$keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
$arr = explode( '|', $keyword );
$result = str_ireplace( $arr, '', $string );
return $result;
}
/**
* 检查输入的数字是否合法,合法返回对应id,否则返回false
* @param integer $id
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_id( $id ) {
$result = false;
if ( $id !== '' && !is_null( $id ) ) {
$var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字
if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
$result = intval( $var );
}
}
return $result;
}
/**
* 检查输入的字符是否合法,合法返回对应id,否则返回false
* @param string $string
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_str( $string ) {
$result = false;
$var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字
if ( !empty( $var ) ) {
if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开
$var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
//$var = str_replace( "_", "\_", $var ); // 把 '_'过滤掉
$var = str_replace( "%", "\%", $var ); // 把 '%'过滤掉
$var = nl2br( $var ); // 回车转换
$var = htmlspecialchars( $var ); // html标记转换
$result = $var;
}
return $result;
}
您可能感兴趣的文章:
相关文章推荐
- 输入值/表单提交参数过滤有效防止sql注入的方法
- 输入值/表单提交参数过滤有效防止sql注入的方法
- 输入值/表单提交参数过滤有效防止sql注入的方法
- 输入值/表单提交参数过滤有效防止sql注入的方法
- php:输入值/表单提交参数过滤,防止sql注入或非法攻击的方法
- js replace 全局替换 以表单的方式提交参数 判断是否为ie浏览器 将jquery.qqFace.js表情转换成微信的字符码 手机端省市区联动 新字体引用本地运行可以获得,放到服务器上报404 C#提取html中的汉字 MVC几种找不到资源的解决方式 使用Windows服务定时去执行一个方法的三种方式
- 防止form表单重复提交的八种方法
- JAVA_OA(十四)番外:JAVAWEB防止表单重复提交的方法整合(包括集群部署)
- 几种防止表单重复提交的方法
- PHP防止表单重复提交的几种常用方法汇总
- 防止表单重复提交的八种简单有效的策略
- spring防止F5刷新提交重复表单,为form加入参数token
- 关于防止表单表达重复提交的几个解决方法
- 几种防止表单重复提交的方法
- 防止表单重复提交最有效的几种方法
- PHP对表单提交特殊字符的过滤和处理方法汇总
- js防止表单重复提交的两种方法
- 几种防止表单重复提交的方法
- PHP使用token防止表单重复提交的方法
- 防止表单重复提交的一个好方法