PHP が SQL インジェクションフィルターのページングパラメーターを防ぐ例、SQL paging

PHP が SQL インジェクションフィルターのページングパラメーターを防ぐ例、SQL paging_PHP チュートリアル

WBOY

リリース： 2016-07-13 10:15:27

オリジナル

1015 人が閲覧しました

SQLインジェクション、SQLページングを防ぐためのphpフィルターページングパラメータの例

この記事の例では、PHP でページングパラメータをフィルタリングして SQL インジェクションを防ぐ方法について説明します。参考のためにみんなで共有してください。具体的な分析は次のとおりです:

ネットワークセキュリティに関する限り、インターネット上の入力情報は一切信頼しないでください。入力情報に対してパラメータフィルタリングを実行する必要があります。これに関して、まず次の例を見てみましょう:

コードをコピーしますコードは次のとおりです:

$this->load->library ( 'pagination' );
$config ['base_url'] = site_url () '/guest/show';
$config ['total_rows'] = $c;
$config ['per_page'] = $pernum = 15;
$config['uri_segment'] = 3;
$config ['use_page_numbers'] = TRUE;
$config ['first_link'] = '最初のページ';
$config ['last_link'] = '最後のページ';
$config['num_links'] = 5;
$this->ページネーション->初期化 ( $config );
if (! $this->uri->segment ( 3 )) {
$currentnum = 0;
} その他 {
$currentnum = is_numeric($this->uri->segment ( 3 ))?(intval($this->uri->segment ( 3 ) - 1)) * $pernum:0;
}

$current_page=is_numeric($this->uri->segment ( 3 ))?intval($this->uri->segment ( 3 )):1;
if($current_page){
$data ['title'] = 'ページ '.$current_page.'-ゲストブック-アンチ SQL インジェクションテスト';
}
他{
$data ['title'] = 'ゲストブックアンチSQLインジェクションテスト';
}

$data ['liuyan'] = $this->ly->getLy ( $pernum, $currentnum );

その中には:

コードをコピーコードは次のとおりです:

$current_page=is_numeric($this->uri->segment (3))?intval($this->uri->segment (3) )): 1;
$currentnum = is_numeric($this->uri->segment ( 3 ))?(intval($this->uri->segment ( 3 ) - 1)) * $pernum;

これら 2 つの文は、パラメータが数値であるかどうかを判断します。不正な文字入力を防止します。

この記事で説明した内容が皆様の PHP プログラミング設計に役立つことを願っています。

phpフィルターSQLインジェクション、初心者

PHP4環境でSQLインジェクションを防ぐコードを書きましたが、実際に使ってみるとPHP5でも互換性がありますので、どなたでも改変してご利用ください。
コードは次のとおりです:
/*
sqlinアンチインジェクションクラス
*/
class sqlin
{

//dowith_sql($value)
function dowith_sql($str)
{
$str = str_replace(" と ","",$str);
$str = str_replace("実行","",$str);
$str = str_replace("更新","",$str);
$ str = str_replace( "count","",$str);
$str = str_replace("chr","",$str);
$str = str_replace("mid","",$str);
$str = str_replace ("master","",$str);
$str = str_replace("truncate","",$str);
$str = str_replace("char","",$str);
$str = str_replace("宣言","",$str);
$str = str_replace("選択","",$str);
$str = str_replace("作成","",$str) ;
$str = str_replace("削除","",$str);
$str = str_replace("挿入","",$str);
$str = str_replace("'","",$str) );
$ str = str_replace(""","",$str);
$str = str_replace(" ","",$str);
$str = str_replace("または","",$str );
$ str = str_replace("=","",$str);
$str = str_replace("%20","",$str);
//echo $str;
return $str;
}
//aticle() SQLインジェクション防止関数
function sqlin()
{
foreach ($_GET as $key=>$value)
{
$_GE...残りのテキスト>>