sql注入与转义的php函数代码

yipeiwu_com5年前PHP代码库

sql注入:

  正常情况下:

    delete.php?id=3;
    $sql = 'delete from news where id = '.$_GET['id'];

  恶意情况:

    delete.php?id=3 or 1;
    $sql = 'delete from news where id = 3 or 1';  -------如此执行后,所有的记录将都被删除

   应该采取相关措施。。。比如用之前先判断是否是数字等等。

要使自己相信,从客户端传来的信息永远是不可靠的!!

转义:

  有时候从客户端传来的数据,可能恶意包含些特殊的字符,比如单引号、斜杠等,所以需要转义,转义成普通的字符,此时就要用到string addslashes ( string $str ),这个函数可以对某个变量进行转义。但是,如果对数组里的元素进行转义,就用foreach循环数组,如下:

复制代码 代码如下:

  foreach($_POST as $k=>$v) {
      if(is_string($v)) {
        $_POST[$k] = addslashes($v);
      }
  }

  但是如果数组中还包含数组,那就要递归进行转义了,此时用到

    array_walk_recursive(array &$input , callback $funcname [, mixed $userdata ])

             将用户自定义函数 funcname 应用到 array 数组中的每个单元。本函数会递归到更深层的数组中去。典型情况下 funcname 接受两个参数。input 参数的值作为第一个,键名作为第二个。如果提供了可选参数 userdata,将被作为第三个参数传递给 callback funcname。成功时返回 TRUE, 或者在失败时返回 FALSE

      也就是说:用自定义的函数,至少要能接收两个参数,而addslashes()只能接收一个参数所以自定义一个函数如下:

复制代码 代码如下:

      function a(&$v,$k){
        $v=addslashes($v);
      }
      array_walk_recursive(&$arr,'a');

 系统自动转义:

  PHP中,有一个魔术引号的概念,如何打开?答:在PHP.ini中,magic_quotes_gpc=On;重启apache即可

  魔术引号被打开后,系统会自动对$_GET,$_POST,$_COOKIE数据进行转义,在不知情的情况下,再次进行手动转义的话,就转多了,要想合理的进行转义,就要首先判断,魔术符号是否已经打开了,用magic_quotes_gpc()进行判断,不需要传值,关闭返回0,关闭返回1

复制代码 代码如下:

  if(!get_magic_quotes_gpc()) {  // 如果魔术引号没开

      function _addslashes(&$v,$k) {
          $v = addslashes($v);
      }
      array_walk_recursive(&$_GET,'_addslashes');
      array_walk_recursive(&$_POST,'_addslashes');
      array_walk_recursive(&$_COOKIE,'_addslashes');
  }

相关文章

PHP从尾到头打印链表实例讲解

题目 输入一个链表,从尾到头打印链表每个节点的值。 题解 一种是使用栈。 第二种是递归。 代码 //递归版本 function printListFromTailToHea...

给apache2.2加上mod_encoding模块後 php5.2.0 处理url出现bug

这个问题是mod_encoding已经先一步处理了url ,而PHP又解了一次 例如 x.php?s=%252B%2F%2B%2F 那么$_GET['s']得到的是 +/&nb...

redis+php实现微博(一)注册与登录功能详解

本文实例讲述了redis+php实现微博注册与登录功能。分享给大家供大家参考,具体如下: (一)、微博功能概况 微博用户账号注册 微博用户登录 微博发布 添加微博好友(粉丝) 微博推送...

PHP实现恶意DDOS攻击避免带宽占用问题方法

使用PHP代码实现的DDOS攻击会导致带宽被占用,变成卡B。 处理办法是: 修改php.ini文件 1) "disable_functions"改成gzinflate,默认是放空 2)...

PHP的伪随机数与真随机数详解

PHP的伪随机数与真随机数详解

首先需要声明的是,计算机不会产生绝对随机的随机数,计算机只能产生“伪随机数”。其实绝对随机的随机数只是一种理想的随机数,即使计算机怎样发展,它也不会产生一串绝对随机的随机数。计算机只能生...