|
|
復制代碼 代碼如下:
/**
* 過濾sql與php文件操作的關鍵字
* @param string $string
* @return string
* @author zyb <zyb_icanplay@163.com>
*/
private function filter_keyword( $string ) {
$keyword = 'select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file|outfile';
$arr = explode( '|', $keyword );
$result = str_ireplace( $arr, '', $string );
return $result;
}
/**
* 檢查輸入的數字是否合法,合法返回對應id,否則返回false
* @param integer $id
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_id( $id ) {
$result = false;
if ( $id !== '' && !is_null( $id ) ) {
$var = $this->filter_keyword( $id ); // 過濾sql與php文件操作的關鍵字
if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
$result = intval( $var );
}
}
return $result;
}
/**
* 檢查輸入的字符是否合法,合法返回對應id,否則返回false
* @param string $string
* @return mixed
* @author zyb <zyb_icanplay@163.com>
*/
protected function check_str( $string ) {
$result = false;
$var = $this->filter_keyword( $string ); // 過濾sql與php文件操作的關鍵字
if ( !empty( $var ) ) {
if ( !get_magic_quotes_gpc() ) { // 判斷magic_quotes_gpc是否為打開
$var = addslashes( $string ); // 進行magic_quotes_gpc沒有打開的情況對提交數據的過濾
}
//$var = str_replace( "_", "/_", $var ); // 把 '_'過濾掉
$var = str_replace( "%", "/%", $var ); // 把 '%'過濾掉
$var = nl2br( $var ); // 回車轉換
$var = htmlspecialchars( $var ); // html標記轉換
$result = $var;
}
return $result;
}
php技術:輸入值/表單提交參數過濾有效防止sql注入的方法,轉載需保留來源!
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
