php防止sql注入的代碼

/************************* 說明： 判斷傳遞的變數中是否含有非法字元 如$_POST、$_GET 功能：防注入 **************************/ //要過濾的非法字元 $ArrFiltrate=array("'",";","union"); //出錯後要跳轉的url,不填則預設前一頁 $StrGoUrl=""; //是否存在數組中的值 function FunStringExist($StrFiltrate,$ArrFiltrate){ foreach ($ArrFiltrate as $key=>$value){ if (eregi($value,$StrFiltrate)){ return true; } } return false; } //合并$_POST 和 $_GET if(function_exists(array_merge)){ $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); }else{ foreach($HTTP_POST_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } foreach($HTTP_GET_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } } //驗證開始 foreach($ArrPostAndGet as $key=>$value){ if (FunStringExist($value,$ArrFiltrate)){ echo ""; if (emptyempty($StrGoUrl)){ echo ""; }else{ echo ""; } exit; } } ?> 複製代碼 儲存為 checkpostandget.php，然後在每個php檔案前加include(“checkpostandget.php“);即可。 方法二 /* 過濾所有GET過來變數 */ foreach ($_GET as $get_key=>$get_var) { if (is_numeric($get_var)) { $get[strtolower($get_key)] = get_int($get_var); } else { $get[strtolower($get_key)] = get_str($get_var); } } /* 過濾所有POST過來的變數 */ foreach ($_POST as $post_key=>$post_var) { if (is_numeric($post_var)) { $post[strtolower($post_key)] = get_int($post_var); } else { $post[strtolower($post_key)] = get_str($post_var); } } /* 過濾函數 */ //整型過濾函數 function get_int($number) { return intval($number); } //字串型過濾函數 function get_str($string) { if (!get_magic_quotes_gpc()) { return addslashes($string); } return $string; } ?> 複製代碼

