简单实用的PHP防注入类实例

sun

本文实例讲述了简单实用的PHP防注入类。分享给大家供大家参考。具体如下：
PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全.
PHP防注入类代码如下:
复制代码 代码如下:

1. <?php
   
2. /**
   
3. * 参数处理类
   
4. * @author JasonWei
   
5. */
   
6. class Params
   
7. {
   
8. public $get = array();
   
9. 
   
10. public $post = array();
    
11. 
    
12. function __construct()
    
13. {
    
14. if (!emptyempty($_GET)) {
    
15. foreach ($_GET as $key => $val) {
    
16. if (is_numeric($val)) {
    
17. $this->get[$key] = $this->getInt($val);
    
18. } else {
    
19. $this->get[$key] = $this->getStr($val);
    
20. }
    
21. }
    
22. }
    
23. if (!emptyempty($_POST)) {
    
24. foreach ($_POST as $key => $val) {
    
25. if (is_numeric($val)) {
    
26. $this->post[$key] = $this->getInt($val);
    
27. } else {
    
28. $this->post[$key] = $this->getStr($val);
    
29. }
    
30. }
    
31. }
    
32. }
    
33. 
    
34. public function getInt($number)
    
35. {
    
36. return intval($number);
    
37. }
    
38. 
    
39. public function getStr($string)
    
40. {
    
41. if (!get_magic_quotes_gpc()) {
    
42. $string = addslashes($string);
    
43. }
    
44. return $string;
    
45. }
    
46. 
    
47. public function checkInject($string)
    
48. {
    
49. return eregi('select|insert|update|delete|/*|*|../|./|union|into|load_file|outfile', $string);
    
50. }
    
51. 
    
52. public function verifyId($id = null)
    
53. {
    
54. if (!$id || $this->checkInject($id) || !is_numeric($id)) {
    
55. $id = false;
    
56. } else {
    
57. $id = intval($id);
    
58. }
    
59. return $id;
    
60. }
    
61. }
    
62. ?>
    
63. 
    
64. 例子二,代码如下:
    
65. 复制代码 代码如下:
    
66. <?php
    
67. /*************************
    
68. 说明：
    
69. 判断传递的变量中是否含有非法字符
    
70. 
    
71. 如$_POST、$_GET
    
72. 功能：
    
73. 防注入
    
74. *************************/
    
75. //要过滤的非法字符
    
76. $ArrFiltrate=array("'","or","and","union","where");
    
77. //出错后要跳转的url,不填则默认前一页
    
78. $StrGoUrl="";
    
79. //是否存在数组中的值
    
80. function FunStringExist($StrFiltrate,$ArrFiltrate){
    
81. foreach ($ArrFiltrate as $key=>$value){
    
82. if (eregi($value,$StrFiltrate)){
    
83. return true;
    
84. }
    
85. }
    
86. return false;
    
87. }
    
88. //合并$_POST 和 $_GET
    
89. if(function_exists(array_merge)){
    
90. $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
    
91. }else{
    
92. foreach($HTTP_POST_VARS as $key=>$value){
    
93. $ArrPostAndGet[]=$value;
    
94. }
    
95. foreach($HTTP_GET_VARS as $key=>$value){
    
96. $ArrPostAndGet[]=$value;
    
97. }
    
98. }
    
99. //验证开始
    
100. foreach($ArrPostAndGet as $key=>$value){
     
101. if (FunStringExist($value,$ArrFiltrate)){
     
102. echo "<script language='javascript'>alert('传递的信息中不得包含{',or,and,union}等非法字符请您把他们换成{‘,ＯＲ,ＡＮＤ,ＵＮＩＯＮ}');</script>";
     
103. if (emptyempty($StrGoUrl)){
     
104. echo "<scriptlanguage='javascript'>history.go(-1);</script>";
     
105. }else{
     
106. echo "<scriptlanguage='javascript'>window.location='".$StrGoUrl."';</script>";
     
107. }
     
108. exit;
     
109. }
     
110. }
     
111. /***************结束防止PHP注入*****************/
     
112. ?>

复制代码

希望本文所述对大家的PHP程序设计有所帮助。