php通用防注入sql类.docVIP

php通用防注入类 ?php /************************* 说明： 判断传递的变量中是否含有非法字符 如$_POST、$_GET 功能： 防注入 注：请自行完善要过滤的非法字符 **************************/ //要过滤的非法字符 $ArrFiltrate=array(,;,union); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=#; //是否存在数组中的值 function FunStringExist($StrFiltrate,$ArrFiltrate){ foreach ($ArrFiltrate as $key=$value){ if (eregi($value,$StrFiltrate)){ return true; } } return false; } //合并$_POST 和 $_GET if(function_exists(array_merge)){ $ArrPostAndGet=array_merge($_POST,$_GET); }else{ foreach($_POST as $key=$value){ $ArrPostAndGet[]=$value; } foreach($_GET as $key=$value){ $ArrPostAndGet[]=$value; } } //验证开始 foreach($ArrPostAndGet as $key=$value){ if (FunStringExist($value,$ArrFiltrate)){ echo script language=javascriptalert(非法字符);/script; if (empty($StrGoUrl)){ echo script language=javascripthistory.go(-1);/script; }else{ echo script language=javascriptwindow.location=.$StrGoUrl.;/script; } exit; } } /** 附注：$HTTP_POST_VARS与$_POST的区别 $HTTP_GET_VARS与$_GET　　　$HTTP_POST_VARS与$_POST $HTTP_POST_VARS可以用于3.0及以下版本，$HTTP_POST_VARS不是自动全局变量 $_POST只能用于4.0及以上版本中 为了你的代码应用可以更广泛,请写成$HTTP_POST_VARS HTTP POST 变量：$_POST 注: 在 PHP 4.1.0 及以后版本使用。之前的版本，使用 $HTTP_POST_VARS。 通过 HTTP POST 方法传递的变量组成的数组。是自动全局变量。 这是一个“superglobal”，或者可以描述为自动全局变量。这只不过意味这它在所有的脚本中都有效。在函数或方法中您不需要使用 global $_POST; 来访问它，就如同使用 $HTTP_POST_VARS 一样。 $HTTP_POST_VARS 包含着同样的信息，但是不是一个自动全局变量。（注意： HTTP_POST_VARS 和 $_POST 是不同的变量，PHP 处理它们的方式不同。） **/ PHP防注入方法二（以下代码未经测试，请自行按需修改！）： 以下是一段copy来的代码： $_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($content as $key=$value) { $content[$key] = addslashes($value); } } else { addslashes($content); } } return $content; } 做系统的话,可以用下面的代码,也是copy来的。接下来做系统的时候，如果有问题，或者有修改的地方，我会补充说明： /* 函数名称：inject_check() 函数作用：检测提交的值是不是含有SQL注射的字符，防止注射，保护服务器安全 参　　数：$sql_str: 提交的变量 返 回 值：返回检测结果，ture or false */ function inject_check($sql_str) { return eregi(select|insert|update|delete||/*|*|../|./|union|int