PHP在使用正则表达式验证,防注入的时候要注意一下的细节

时间:2024-01-03 16:42:26

如下:这是一个防止用户输入的数据中包含SQL的一些关键字的正则表达式

之前一直认为这写的很正确,没多大的问题,而且自己测试也没问题,

因为关键字包含 And,而如果用户输入andy的时候呢,汗,所以还得结合

SQL的一些特点来对这个正则表达式进行修改

注:\s:在正则表达式中表示空格;正则表达式最后的小"i"表示不区分大小写

做出的修改是:select,insert,update,delete这几个关键字,使用的时候前面有可能有或没有空格,但后面必须有一个空格,

所以变成 [\s]*select\s

而and,or,union这些,因为必须前面一个空格,后面一个空格才能生效

所以改成 \sand\s

function inject_check($Sql_Str) {//检查Sql的注入语句,各种关键字。

//原来是这样的:/select|insert|update|delete|and|or|\'|\\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i
      //$check=preg_match('/[\s]*select\s|[\s]*insert\s|[\s]*update\s|                        [\s]*delete\s|\sand\s|\sor\s|\'|\\*|\*|\.\.\/|\.\/|\sunion\s|\sinto\s|load_file|outfile/i',$Sql_Str);

//不过这样太难看了,所以稍微修改一下,

         $check=preg_match('/[\s]*(select|insert|update|delete)\s|\s(and|or|join|like|regexp|where|union|into)\s|\#|\'|\\*|\*|\.\.\/|\.\/|load_file|outfile/i',$Sql_Str);
      if ($check) {
           echo '<script language="JavaScript">alert("Warnning!!\r\n'.$Sql_Str.' is invalid.");</script>';
           exit();
     }else{
          return $Sql_Str;
     }
}