PHP防SQL注入通用代码

immvan

    SQL注入攻击就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者在编程过程中的漏洞，“当攻击者能够操作数据，向应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。实际上，SQL注入攻击是攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。SQL注入漏洞是目前互联网最常见也是影响非常广泛的漏洞。

PHP防SQL注入通用代码

1. <?php
   
2. 
   
3. function customError($errno, $errstr, $errfile, $errline)
   
4. {
   
5. echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
   
6. die();
   
7. }
   
8. set_error_handler("customError",E_ERROR);
   
9. $getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
   
10. $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
    
11. $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
    
12. function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){  
    
13. 
    
14. if(is_array($StrFiltValue))
    
15. {
    
16.     $StrFiltValue=implode($StrFiltValue);
    
17. }  
    
18. if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){   
    
19.         //slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
    
20.         print "websec notice:Illegal operation!";
    
21.         exit();
    
22. }      
    
23. }  
    
24. //$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);
    
25. foreach($_GET as $key=>$value){
    
26.     StopAttack($key,$value,$getfilter);
    
27. }
    
28. foreach($_POST as $key=>$value){
    
29.     StopAttack($key,$value,$postfilter);
    
30. }
    
31. foreach($_COOKIE as $key=>$value){
    
32.     StopAttack($key,$value,$cookiefilter);
    
33. }
    
34. if (file_exists('update.php')) {
    
35.     echo "请重命名文件update.php，防止黑客利用<br/>";
    
36.     die();
    
37. }
    
38. function slog($logs)
    
39. {
    
40.   $toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
    
41.   $Ts=fopen($toppath,"a+");
    
42.   fputs($Ts,$logs."\r\n");
    
43.   fclose($Ts);
    
44. }
    
45. ?>

复制代码

360safe