简单实用的PHP防注入类实例
本文实例讲述了简单实用的PHP防注入类。分享给大家供大家参考。具体如下:
PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全.
PHP防注入类代码如下:
<?php /** *参数处理类 *@authorJasonWei */ classParams { public$get=array(); public$post=array(); function__construct() { if(!emptyempty($_GET)){ foreach($_GETas$key=>$val){ if(is_numeric($val)){ $this->get[$key]=$this->getInt($val); }else{ $this->get[$key]=$this->getStr($val); } } } if(!emptyempty($_POST)){ foreach($_POSTas$key=>$val){ if(is_numeric($val)){ $this->post[$key]=$this->getInt($val); }else{ $this->post[$key]=$this->getStr($val); } } } } publicfunctiongetInt($number) { returnintval($number); } publicfunctiongetStr($string) { if(!get_magic_quotes_gpc()){ $string=addslashes($string); } return$string; } publicfunctioncheckInject($string) { returneregi('select|insert|update|delete|/*|*|../|./|union|into|load_file|outfile',$string); } publicfunctionverifyId($id=null) { if(!$id||$this->checkInject($id)||!is_numeric($id)){ $id=false; }else{ $id=intval($id); } return$id; } } ?>
例子二,代码如下:
<?php /************************* 说明: 判断传递的变量中是否含有非法字符 如$_POST、$_GET 功能: 防注入 *************************/ //要过滤的非法字符 $ArrFiltrate=array("'","or","and","union","where"); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=""; //是否存在数组中的值 functionFunStringExist($StrFiltrate,$ArrFiltrate){ foreach($ArrFiltrateas$key=>$value){ if(eregi($value,$StrFiltrate)){ returntrue; } } returnfalse; } //合并$_POST和$_GET if(function_exists(array_merge)){ $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); }else{ foreach($HTTP_POST_VARSas$key=>$value){ $ArrPostAndGet[]=$value; } foreach($HTTP_GET_VARSas$key=>$value){ $ArrPostAndGet[]=$value; } } //验证开始 foreach($ArrPostAndGetas$key=>$value){ if(FunStringExist($value,$ArrFiltrate)){ echo"<scriptlanguage='javascript'>alert('传递的信息中不得包含{',or,and,union}等非法字符请您把他们换成{‘,OR,AND,UNION}');</script>"; if(emptyempty($StrGoUrl)){ echo"<scriptlanguage='javascript'>history.go(-1);</script>"; }else{ echo"<scriptlanguage='javascript'>window.location='".$StrGoUrl."';</script>"; } exit; } } /***************结束防止PHP注入*****************/ ?>
希望本文所述对大家的PHP程序设计有所帮助。