PHP で SQL インジェクションを防ぐいくつかの方法

/**
* SQL インジェクションを防止します
* @author: test@jbxue.com
**/
/**
* SQL インジェクションを拒否します
*/
if (!function_exists (quote))
{
function quote($var)
{
if ( strlen($var))
{
$var=!get_magic_quotes_gpc() ? $var :tripslashes($var);
$var = str_replace("'","'",$var);
}
return "'$var'";
}
}
if (!function_exists (hash_num) ){
関数 hash_num($input)
{
$hash = 5381;
for ($i = 0; $i < strlen($str); $i++)
{
$c = ord($str{$ i});
$hash = (($hash <<5) + $hash) + $c;
}
return $hash;
}
}
?>

测试：

/**
* 防御sql测试代码
CREATE TABLE IF NOT EXISTS `tb` (
`id` int(10) unsigned NOT NULL auto_increment,
`age` tinyint(3) unsigned NOT NULL,
`name` char(100) NOT NULL、
`note` テキスト NOT NULL、
主キー (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 ;
**/
include_once('common.php');
var_dump(hash_num('dddd'));
if(empty($_GET))
 {
$_GET = array('age'=>'99','name'=>'a'b\'c";','note'=>"a'b'nC#");
}
$age = (int)$_GET['age'];
$name = quote($_GET['name']);
$note = quote($_GET['note']);
$sql = "INSERT INTO `tb` ( `age`, `name`, `note`) VALUES
( $age, $name, $note)";
var_dump($sql);
?>

#---------------------- 方法２：

$magic_quotes_gpc = get_magic_quotes_gpc();
@extract(daddslashes($_COOKIE));
@extract(daddslashes($_POST))まつげ($_GET));
if(!$magic_quotes_gpc) {
$_FILES = kiddslashes($_FILES);
}
function kiddslashes($string, $force = 0) {
if (!$GLOBALS['magic_quotes_gpc'] || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = godslashes( $val, $force);
}
} else {
$string =addlashes($string);
}
}
return $string;
}
?

$check = eregi('select|insert|update|delete|'|/*|*|../|./ |union|into|load_file|outfile', $sql_str);
if ($check) {
echo "输入非法内容注入！";
exit ();
} else {
return $sql_str;
}
}
 function checkurl() { //检查来路
if (preg_replace("/https教程?://([^:/]+).*/i", "1", $_server['http_referer']) ! == preg_replace("/([^:]+).*/", "1", $_server['http_host'])) {
header("location: http://s.jbxue.com");
exit();
}
}
//调用
checkurl();
$str = $_get['url'];
inject_check($sql_str);//この条は获取パラメータ時に操作を実行できます