标签:
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法:
/** * 过滤sql与php文件操作的关键字 * @param string $string * @return string * @author zrp <zouruiping668@sina.com> */ private function filter_keyword( $string ) { $keyword = select|insert|update|delete|\|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile; $arr = explode( |, $keyword ); $result = str_ireplace( $arr, , $string ); return $result; }
protected function check_id( $id ) { $result = false; if ( $id !== && !is_null( $id ) ) { $var = $this->filter_keyword( $id ); // 过滤sql与php文件操作的关键字 if ( $var !== && !is_null( $var ) && is_numeric( $var ) ) { $result = intval( $var ); } } return $result; }
protected function check_str( $string ) { $result = false; $var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字 if ( !empty( $var ) ) { if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开 $var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 } //$var = str_replace( "_", "\_", $var ); // 把 _过滤掉 $var = str_replace( "%", "\%", $var ); // 把 %过滤掉 $var = nl2br( $var ); // 回车转换 $var = htmlspecialchars( $var ); // html标记转换 $result = $var; } return $result; }
输入值/表单提交参数过滤,防止sql注入或非法攻击的方法:
private function filter_keyword( $string ) { $keyword = select|insert|update|delete|\|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile; $arr = explode( |, $keyword ); $result = str_ireplace( $arr, , $string ); return $result; }
protected function check_str( $string ) { $result = false; $var = $this->filter_keyword( $string ); // 过滤sql与php文件操作的关键字 if ( !empty( $var ) ) { if ( !get_magic_quotes_gpc() ) { // 判断magic_quotes_gpc是否为打开 $var = addslashes( $string ); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤 } //$var = str_replace( "_", "\_", $var ); // 把 _过滤掉 $var = str_replace( "%", "\%", $var ); // 把 %过滤掉 $var = nl2br( $var ); // 回车转换 $var = htmlspecialchars( $var ); // html标记转换 $result = $var; } return $result; }
标签:
原文地址:http://www.cnblogs.com/zrp2013/p/4598939.html
