作為開發(fā)人員時(shí)刻要記住一句話，永遠(yuǎn)不要相信任何用戶的輸入！很多時(shí)候我們的網(wǎng)站會(huì)因?yàn)槲覀冮_發(fā)人員寫的代碼不夠嚴(yán)謹(jǐn)，而使網(wǎng)站受到攻擊，造成不必要的損失！下面介紹一下如何防止SQL注入！

這里提供了一個(gè)函數(shù)，用來過濾用戶輸入的內(nèi)容！使用POST傳值的時(shí)候，可以調(diào)用這個(gè)函數(shù)進(jìn)行過濾！

    /**
     * 過濾參數(shù)
     * @param string $str 接受的參數(shù)
     * @return string
     */
    static public function filterWords($str)
    {
        $farr = array(
                "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
                "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
                "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
        );
        $str = preg_replace($farr,'',$str);
        return $str;
    }
     
    /**
     * 過濾接受的參數(shù)或者數(shù)組,如$_GET,$_POST
     * @param array|string $arr 接受的參數(shù)或者數(shù)組
     * @return array|string
     */
    static public function filterArr($arr)
    {
        if(is_array($arr)){
            foreach($arr as $k => $v){
                $arr[$k] = self::filterWords($v);
            }
        }else{
            $arr = self::filterWords($v);
        }
        return $arr;
    }

標(biāo)簽： 代碼

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。