PHP防XSS 防SQL注入的代码

作为开发人员时刻要记住一句话，永远不要相信任何用户的输入！很多时候我们的网站会因为我们开发人员写的代码不够严谨，而使网站受到攻击，造成不必要的损失！下面介绍一下如何防止SQL注入！

这里提供了一个函数，用来过滤用户输入的内容！使用POST传值的时候，可以调用这个函数进行过滤！

    /**

     * 过滤参数

     * @param string $str 接受的参数

     * @return string

     */

    static public function filterWords($str)

    {

        $farr = array(

                "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",

                "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",

                "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"

        );

        $str = preg_replace($farr,'',$str);

        return $str;

    }

    /**

     * 过滤接受的参数或者数组,如$_GET,$_POST

     * @param array|string $arr 接受的参数或者数组

     * @return array|string

     */

    static public function filterArr($arr)

    {

        if(is_array($arr)){

            foreach($arr as $k => $v){

                $arr[$k] = self::filterWords($v);

            }

        }else{

            $arr = self::filterWords($v);

        }

        return $arr;

    }

PHP防XSS 防SQL注入的代码的更多相关文章

安全防御之防xss、SQL注入、与CSRF攻击
XSS攻击个人理解,项目中最普通的就是通过输入框表单,提交js代码,进行攻击例如在输入框中提交 <script>alert("我是xss攻击");</scrip ...
openresty用naxsi防xss、SQL注入
下载naxsi wget https://github.com/nbs-system/naxsi/archive/untagged-afabfc163946baa8036f.tar.gz tar zx ...
php防sql注入过滤代码
防止sql注入的函数,过滤掉那些非法的字符,提高sql安全性,同时也可以过滤XSS的攻击. function filter($str) { if (empty($str)) return false; ...
总结了关于PHP xss 和 SQL 注入的问题(转)
漏洞无非这么几类,XSS.sql注入.命令执行.上传漏洞.本地包含.远程包含.权限绕过.信息泄露.cookie伪造.CSRF(跨站请求)等.这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何 ...
20&period;Ecshop 2&period;x/3&period;x SQL注入/任意代码执行漏洞
Ecshop 2.x/3.x SQL注入/任意代码执行漏洞影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二 ...
关于PHP xss 和 SQL 注入的问题
漏洞无非这么几类,XSS.sql注入.命令执行.上传漏洞.本地包含.远程包含.权限绕过.信息泄露.cookie伪造.CSRF(跨站请求)等.这些漏洞不仅仅是针对PHP语言的,PHP如何有效防止这些漏洞 ...
防XXS和SQL注入
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlsp ...
常见的 CSRF、XSS、sql注入、DDOS流量攻击
CSRF攻击 :跨站请求伪造攻击 ,CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性攻击者一般会使用吸引人的图片去引导用户点击进 ...
XSS攻击&amp&semi;SQL注入攻击&amp&semi;CSRF攻击？
- XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式.跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意 ...

随机推荐

MVVM架构~knockoutjs系列之验证成功提示显示
返回目录对于knockout.validation来说,我们已经知道了如何去验证大部分表单元素,而有时,我们的需求希望在每个元素验证成功后,去显示正确的提示,这个我们很容易的使用self.元素.is ...
左求值表达式，堆栈，调试陷阱与ORM查询语言的设计
1,表达式的求值顺序与堆栈结构 “表达式” 是程序语言一个很重要的术语,也是大家天天写的程序中很常见的东西,但是表达式的求值顺序一定是从左到右么? C/C++语言中没有明确规定表达式的运算顺序(从左到 ...
【Python】range和xrange区别
转自:http://www.cnblogs.com/zhangjing0502/archive/2012/05/16/2503880.html range 函数说明:range([start,] ...
ExtJs 下拉菜单分页工具插件代码分析
Ext.ns("Ext.ux"); //创建插件对象 Ext.ux.PageSizePlugin = function(){ //调用父对象的构造方法,并为此插件生成一个预定义st ...
config文件中可以配置查询超时时间
web.config配置数据库连接第一种:获取连接字符串首先要定义命名空间 system.configuration 1. string connstr= string constr = Con ...
[笔记]机器学习(Machine Learning) - 02&period;逻辑回归(Logistic Regression)
逻辑回归算法是分类算法,虽然这个算法的名字中出现了"回归",但逻辑回归算法实际上是一种分类算法,我们将它作为分类算法使用.. 分类问题:对于每个样本,判断它属于N个类中的那个类或哪 ...
PYTHON 函数局部变量和全局变量
有这样一段PYTHON代码,从事C语言开发的人都知道,如果定义了全局变量,而函数内没有定义同名的函数变量的话,那么在函数内对该变量的赋值就是对全局变量空间数值的修改, 然后在PYTHON中却不尽相同, ...
μC/OS-II 信号量集
简介在实际应用中,任务常常需要与多个事件同步,即要根据多个信号量组合作用的结果来决定任务的运行方式.μC/OS-II 为了实现多个信号量组合的功能定义了一种特殊的数据结构--信号量集. 信号量集所能 ...
webstorm ps
2018WebStorm注册码 2018-10-10 2018年08月22日 17:36:58 阳光明媚的味道阅读数:6325 8月21日 http://webstorm.autoseasy ...
[原创]PHP 异常错误处理
目录错误与异常异常类错误类(PHP >= 7) 错误错误报告级别错误报告设置全局异常处理程序全局错误处理函数无法捕获的错误类型范例代码开发/生产环境处理错误和异常开发环境 ...