php sql防注入程式碼

SQL注入攻擊指的是透過建立特殊的輸入作為參數傳入Web應用程序，而這些輸入大都是SQL語法裡的一些組合，透過執行SQL語句進而執行攻擊者所要的操作，其主要原因是程式沒有細緻地過濾使用者輸入的數據，致使非法資料侵入系統。

根據相關技術原理，SQL注入可分為平台層注入與程式碼層注入。前者由不安全的資料庫配置或資料庫平台的漏洞所致；後者主要是由於程式設計師對輸入未進行細緻地過濾，從而執行了非法的資料查詢。基於此，SQL注入的產生原因通常表現在以下幾個方面：①不當的類型處理；②不安全的資料庫配置；③不合理的查詢集處理；④不當的錯誤處理；⑤轉義字符處理不合適；⑥多個提交處理不當。

本篇文章主要介紹一個通用的防注入程式碼，程式碼如下:

function jk1986_checksql() 
{ 
$bad_str = "and|select|update|'|delete|insert|*"; 
$bad_Array = explode("|",$bad_str); 
/** 过滤Get参数 **/ 
foreach ($bad_Array as $bad_a) 
{ 
foreach ($_GET as $g) 
{ 
if (substr_count(strtolower($g),$bad_a) > 0) 
{ 
echo "<script>alert(&#39;诡异字符,请不要尝试注入本站! 作者:Jk1986 QQ:414028660&#39;);location.href=&#39;index.php&#39;;</script>"; 
exit(); 
} 
} 
} 

/** 过滤Post参数 **/ 

foreach ($bad_Array as $bad_a) 
{ 
foreach ($_POST as $p) 
{ 
if (substr_count(strtolower($p),$bad_a) > 0) 
{ 
echo "<script>alert(&#39;诡异字符,请不要尝试注入本站! 作者:Jk1986 QQ:414028660&#39;);location.href=&#39;index.php&#39;;</script>"; 
exit(); 
} 
} 
} 

/** 过滤Cookies参数 **/ 

foreach ($bad_Array as $bad_a) 
{ 
foreach ($_COOKIE as $co) 
{ 
if (substr_count(strtolower($co),$bad_a) > 0) 
{ 
echo "<script>alert(&#39;诡异字符,请不要尝试注入本站! 作者:Jk1986 QQ:414028660&#39;);location.href=&#39;index.php&#39;;</script>"; 
exit(); 
} 
} 
} 
}

以上是php sql防注入程式碼的詳細內容。更多資訊請關注PHP中文網其他相關文章！