如何實(shí)現(xiàn)輸入值/表單提交參數(shù)過(guò)濾有效防止sql注入

本篇內(nèi)容介紹了“如何實(shí)現(xiàn)輸入值/表單提交參數(shù)過(guò)濾有效防止sql注入”的有關(guān)知識(shí)，在實(shí)際案例的操作過(guò)程中，不少人都會(huì)遇到這樣的困境，接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

輸入值/表單提交參數(shù)過(guò)濾，防止sql注入或非法攻擊的方法：

復(fù)制代碼 代碼如下:

/**
* 過(guò)濾sql與php文件操作的關(guān)鍵字
* @param string $string
* @return string
* @author zyb <zyb_icanplay@163.com>
*/
private function filter_keyword( $string ) {
$keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
$arr = explode( '|', $keyword );
$result = str_ireplace( $arr, '', $string );
return $result;
}

/**
* 檢查輸入的數(shù)字是否合法，合法返回對(duì)應(yīng)id，否則返回false
* @param integer $id
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_id( $id ) {
$result = false;
if ( $id !== '' && !is_null( $id ) ) {
$var = $this->filter_keyword( $id ); // 過(guò)濾sql與php文件操作的關(guān)鍵字
if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
$result = intval( $var );
}
}
return $result;
}

/**
* 檢查輸入的字符是否合法，合法返回對(duì)應(yīng)id，否則返回false
* @param string $string
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_str( $string ) {
$result = false;
$var = $this->filter_keyword( $string ); // 過(guò)濾sql與php文件操作的關(guān)鍵字
if ( !empty( $var ) ) {
if ( !get_magic_quotes_gpc() ) { // 判斷magic_quotes_gpc是否為打開(kāi)
$var = addslashes( $string ); // 進(jìn)行magic_quotes_gpc沒(méi)有打開(kāi)的情況對(duì)提交數(shù)據(jù)的過(guò)濾
}
//$var = str_replace( "_", "\_", $var ); // 把 '_'過(guò)濾掉
$var = str_replace( "%", "\%", $var ); // 把 '%'過(guò)濾掉
$var = nl2br( $var ); // 回車轉(zhuǎn)換
$var = htmlspecialchars( $var ); // html標(biāo)記轉(zhuǎn)換
$result = $var;
}
return $result;
}

“如何實(shí)現(xiàn)輸入值/表單提交參數(shù)過(guò)濾有效防止sql注入”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！