php安全之防注入詳細介紹_PHP教程

我們知道Web上提交資料有兩種方式，一種是get、一種是post，那麼很多常見的sql注射就是從get方式入手的，而且注射的語句裡面一定是包含一些sql語句的，因為沒有sql語句，那麼如何進行，sql語句有四大句：select 、update、delete、insert

那麼我們如果在我們提交的資料中進行過濾是不是能夠避免這些問題呢？
於是我們使用正則就構建如下函數：

代碼如下	複製代碼
/* 函數名稱：inject_check() 函數作用：檢測提交的值是不是含有SQL注射的字元，防止注射，保護伺服器安全 參 數：$sql_str: 提交的變數 返 回 值：返回檢測結果，ture or false 函數作者：heiyeluren */ function inject_check($sql_str) { return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str); // 進行過濾 }

我們函數裡把 select,insert,update,delete, union, into, load_file, outfile /*, ./ , ../ , ' 等等危險的參數字串全部過濾掉，那麼就能夠控制提交的參數了，程式可以這麼構建：

代碼如下	複製代碼
if (inject_check($_GET['id'])) { exit('你提交的資料非法，請檢查後重新提交！'); } else { $id = $_GET['id']; echo '提交的資料合法，請繼續！'; } ?>

假設我們提交URL為：a.php?id=1，那麼就會提示：
"提交的資料合法，請繼續！"
如果我們提交 a.php?id=1%27 select * from tb_name
就會出現提示："你提交的資料非法，請檢查後重新提交！"

那麼就達到了我們的要求。

但是，問題還沒有解決，假如我們提交的是 a.php?id=1asdfasdfasdf 呢，我們這個是符合上面的規則的，但是呢，它是不符合要求的，於是我們為了可能其他的情況，我們再構建一個函數來進行檢查：

代碼如下

複製代碼

/* 函數名稱：verify_id() 函數作用：校正提交的ID類值是否合法 參 數：$id: 提交的ID值 返 回 值：返回處理後的ID 函數作者：heiyeluren */ function verify_id($id=null) { if (!$id) { exit('沒有提交參數！'); } // 是否為空白判斷 elseif (inject_check($id)) { exit('提交的參數非法！'); } // 注射判斷 elseif (!is_numeric($id)) { exit('提交的參數非法！'); } // 數字判斷 $id = intval($id); // 整型化 return $id; } 呵呵，那麼我們就能夠進行校正了，於是我們上面的程式碼就變成了下面的： if (inject_check($_GET['id'])) { exit('你提交的資料非法，請檢查後重新提交！'); } else { $id = verify_id($_GET['id']); // 這裡引用了我們的過濾函數，對$id進行過濾 echo '提交的資料合法，請繼續！'; } ?>

好，問題到這裡似乎都解決了，但是我們有沒有考慮過post提交的資料，大批量的資料呢？
比如一些字元可能會對資料庫造成危害，比如 ' _ ', ' % '，這些字元都有特殊意義，那麼我們如果進行控制呢？還有一點，就是當我們的php.ini裡面的magic_quotes_gpc = off 的時候，那麼提交的不符合資料庫規則的資料都是不會自動在前面加' '的，那麼我們要控制這些問題，於是構建如下函數：

代碼如下	複製代碼
/* 函數名稱：str_check() 函數作用：對提交的字串進行過濾 參 數：$var: 要處理的字串 返 回 值：返回過濾後的字串 函數作者：heiyeluren */ function str_check( $str ) { if (!get_magic_quotes_gpc()) // 判斷magic_quotes_gpc是否開啟 { $str = addslashes($str); // 進行過濾 } $str = str_replace("_", "_", $str); // 把 '_'過濾掉 $str = str_replace("%", "%", $str); // 把' % '過濾掉 return $str; }

OK，我們又一次的避免了伺服器被淪陷的危險。

最後，再考慮提交一些大批量資料的情況，比如發貼，或者寫文章、新聞，我們需要一些函數來幫我們過濾和進行轉換，再上面函數的基礎上，我們構建如下函數：

代碼如下

複製代碼

/* 函數名稱：post_check() 函數作用：對提交的編輯內容進行處理 參 數：$post: 要提交的內容 返 回 值：$post: 返回過濾後的內容 函數作者：heiyeluren */ function post_check($post) { if (!get_magic_quotes_gpc()) // 判斷magic_quotes_gpc是否為開啟 { $post = addslashes($post); // 進行magic_quotes_gpc沒有開啟的情況對提交資料的過濾 } $post = str_replace("_", "_", $post); // 把 '_'過濾掉 $post = str_replace("%", "%", $post); // 把' % '過濾掉 $post = nl2br($post); // 斷行符號轉換 $post= htmlspecialchars($post); // html標記轉換 return $post; }

http://www.bkjia.com/PHPjc/629656.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629656.htmlTechArticle我們知道Web上提交資料有兩種方式，一種是get、一種是post，那麼很多常見的sql注射就是從get方式入手的，而且注射的語句裡面一定是包含一...

