Chinaunix首页 | 论坛 | 博客
  • 博客访问: 275300
  • 博文数量: 188
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: -30
  • 用 户 组: 普通用户
  • 注册时间: 2017-03-29 11:17
文章分类
文章存档

2013年(8)

2012年(5)

2011年(13)

2010年(26)

2009年(63)

2008年(20)

2007年(32)

2006年(21)

分类: 网络与安全

2011-04-24 18:04:27

 

    首先将php.ini里的 magic_quotes_gpc 设置为On 。提交的变量中所有的 ' (单引号), " (双引号), (反斜线) and 空字符会自动转为含有反斜线的转义字符

介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include("/safe.php");即可:

防注入代码1:
//要过滤的非法字符
$ArrFiltrate=array("‘",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate)
{
 foreach ($ArrFiltrate as $key=>$value)
 {
  if (eregi($value,$StrFiltrate))
  {
   return true;
  }
 }
 return false;
}
//合并$_POST 和 $_GET
if(function_exists(array_merge))
{
 $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}
else
{
 foreach($HTTP_POST_VARS as $key=>$value)
 {
  $ArrPostAndGet[]=$value;
 }
 foreach($HTTP_GET_VARS as $key=>$value)
 {
  $ArrPostAndGet[]=$value;
 }
}
//验证开始
foreach($ArrPostAndGet as $key=>$value)
{
 if (FunStringExist($value,$ArrFiltrate))
 {
  echo "";
  if (emptyempty($StrGoUrl))
  {
   echo "";
  }
  else
  {
   echo "";
  }
  exit;
 }
}
?>
 
 
防注入代码2:
/* 过滤所有GET过来变量 */
foreach ($_GET as $get_key=>$get_var)
{
if (is_numeric($get_var)) {
$get[strtolower($get_key)] = get_int($get_var);
} else {
$get[strtolower($get_key)] = get_str($get_var);
}
}
/* 过滤所有POST过来的变量 */
foreach ($_POST as $post_key=>$post_var)
{
 if (is_numeric($post_var))
 {
  $post[strtolower($post_key)] = get_int($post_var);
 }
 else
 {
  $post[strtolower($post_key)] = get_str($post_var);
 }
}
/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
 return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
 if (!get_magic_quotes_gpc())
 {
  return addslashes($string);
 }
 return $string;
}
?>
 
原文:
阅读(1218) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~