sql注入与转义的php函数代码

 更新时间:2013年06月17日 10:37:43   作者:  
这篇文章主要介绍了sql的注入与转义代码,其实大家在使用过程中多参考dedecms 帝国 phpcms的代码,相信你的代码更安全

sql注入:

  正常情况下:

    delete.php?id=3;
    $sql = 'delete from news where id = '.$_GET['id'];

  恶意情况:

    delete.php?id=3 or 1;
    $sql = 'delete from news where id = 3 or 1';  -------如此执行后,所有的记录将都被删除

   应该采取相关措施。。。比如用之前先判断是否是数字等等。

要使自己相信,从客户端传来的信息永远是不可靠的!!

转义:

  有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义,转义成普通的字符,此时就要用到string addslashes ( string $str ),这个函数可以对某个变量进行转义。但是,如果对数组里的元素进行转义,就用foreach循环数组,如下:

复制代码 代码如下:

  foreach($_POST as $k=>$v) {
      if(is_string($v)) {
        $_POST[$k] = addslashes($v);
      }
  }

  但是如果数组中还包含数组,那就要递归进行转义了,此时用到

    array_walk_recursive(array &$input , callback $funcname [, mixed $userdata ])

             将用户自定义函数 funcname 应用到 array 数组中的每个单元。本函数会递归到更深层的数组中去。典型情况下 funcname 接受两个参数。input 参数的值作为第一个,键名作为第二个。如果提供了可选参数 userdata,将被作为第三个参数传递给 callback funcname。成功时返回 TRUE, 或者在失败时返回 FALSE

      也就是说:用自定义的函数,至少要能接收两个参数,而addslashes()只能接收一个参数所以自定义一个函数如下:

复制代码 代码如下:

      function a(&$v,$k){
        $v=addslashes($v);
      }
      array_walk_recursive(&$arr,'a');

 系统自动转义:

  PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可

  魔术引号被打开后,系统会自动对$_GET,$_POST,$_COOKIE数据进行转义,在不知情的情况下,再次进行手动转义的话,就转多了,要想合理的进行转义,就要首先判断,魔术符号是否已经打开了,用magic_quotes_gpc()进行判断,不需要传值,关闭返回0,关闭返回1

复制代码 代码如下:

  if(!get_magic_quotes_gpc()) {  // 如果魔术引号没开

      function _addslashes(&$v,$k) {
          $v = addslashes($v);
      }
      array_walk_recursive(&$_GET,'_addslashes');
      array_walk_recursive(&$_POST,'_addslashes');
      array_walk_recursive(&$_COOKIE,'_addslashes');
  }

相关文章

  • php实现遍历目录并删除指定文件中指定内容

    php实现遍历目录并删除指定文件中指定内容

    这篇文章主要介绍了php实现遍历目录并删除指定文件中指定内容,本文实现的工具可以用来删除服务器上的一句话木马,需要的朋友可以参考下
    2015-01-01
  • PHP中函数rand和mt_rand的区别比较

    PHP中函数rand和mt_rand的区别比较

    mt_rand() 比rand() 快四倍,很多老的 libc 的随机数发生器具有一些不确定和未知的特性而且很慢。PHP 的 rand() 函数默认使用 libc 随机数发生器。mt_rand() 函数是非正式用来替换它的。
    2012-12-12
  • phplock(php进程锁) v1.0 beta1

    phplock(php进程锁) v1.0 beta1

    PHP在多进程模式下(并发的web访问)由于没有内置的锁支持,在处理一些资源的之后,很容易出现并发性问题。
    2009-11-11
  • PHP 开发环境配置(Zend Studio)

    PHP 开发环境配置(Zend Studio)

    运行Zend Studio安装文件(ZendStudio-7.1.2.exe) 安装选项请按照图片中我的选择。
    2010-04-04
  • PHP遍历目录文件的常用方法小结

    PHP遍历目录文件的常用方法小结

    这篇文章主要介绍了PHP遍历目录文件的常用方法,结合实例形式总结分析了php针对文件与目录的常用遍历技巧与运行效率,具有一定参考借鉴价值,需要的朋友可以参考下
    2017-02-02
  • PHP创建简单RPC服务案例详解

    PHP创建简单RPC服务案例详解

    这篇文章主要介绍了PHP创建简单RPC服务案例详解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下
    2021-09-09
  • php 策略模式原理与应用深入理解

    php 策略模式原理与应用深入理解

    这篇文章主要介绍了php 策略模式原理与应用,结合实例形式深入分析了php策略模式的相关概念、原理及具体应用操作技巧,需要的朋友可以参考下
    2019-09-09
  • PHP中isset、empty的用法与区别示例详解

    PHP中isset、empty的用法与区别示例详解

    这篇文章主要给大家介绍了关于PHP中isset、empty的用法与区别的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2020-11-11
  • php对xml文件的增删改查操作实现方法分析

    php对xml文件的增删改查操作实现方法分析

    这篇文章主要介绍了php对xml文件的增删改查操作实现方法,结合具体实例形式分析了php对xml文件的载入及xml节点的读取、修改、查询等相关操作技巧,需要的朋友可以参考下
    2017-05-05
  • PHP cookie,session的使用与用户自动登录功能实现方法分析

    PHP cookie,session的使用与用户自动登录功能实现方法分析

    这篇文章主要介绍了PHP cookie,session的使用与用户自动登录功能实现方法,结合实例形式分析了php使用cookie与session进行数据存取以及实现自动登陆功能的相关操作技巧,需要的朋友可以参考下
    2019-06-06

最新评论