PHP教程:一个很好用的防SQL注入的php类库

PHP教程:一个很好用的防SQL注入的php类库 - 第1张 - 菜鸟建站

上篇我们说到苹果CMS挂马事件,其中SQL注入是最常见的方式之一

在这里分享一个好用的防SQL注入的php类库,本类库首先构造函数参数,然后检查并写日志最后检查SQL注入日志。是一个很好用的防SQL注入的php类库

<?php
class sqlsafe {
  private $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  private $postfilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  private $cookiefilter = "\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  /**
   * 构造函数
   */
  public function __construct() {
    foreach($_GET as $key=>$value){$this->stopattack($key,$value,$this->getfilter);}
    foreach($_POST as $key=>$value){$this->stopattack($key,$value,$this->postfilter);}
    foreach($_COOKIE as $key=>$value){$this->stopattack($key,$value,$this->cookiefilter);}
  }
  /**
   * 参数检查并写日志
   */
  public function stopattack($StrFiltKey, $StrFiltValue, $ArrFiltReq){
    if(is_array($StrFiltValue))$StrFiltValue = implode($StrFiltValue);
    if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue) == 1){
      $this->writeslog($_SERVER["REMOTE_ADDR"]."    ".strftime("%Y-%m-%d %H:%M:%S")."    ".$_SERVER["PHP_SELF"]."    ".$_SERVER["REQUEST_METHOD"]."    ".$StrFiltKey."    ".$StrFiltValue);
      showmsg('您提交的参数非法,系统已记录您的本次操作!','',0,1);
    }
  }
  /**
   * SQL注入日志
   */
  public function writeslog($log){
    $log_path = CACHE_PATH.'logs'.DIRECTORY_SEPARATOR.'sql_log.txt';
    $ts = fopen($log_path,"a+");
    fputs($ts,$log."\r\n");
    fclose($ts);
  }
}
?>

相关推荐

PHP教程:PHP 返回数组中第一个通过条件的元素
  • php教程
  • 2021-04-13

PHP教程:PHP 返回数组中第一个通过条件的元素

PHP  array_filter() 函数可以通过回调函数过滤数组的元素,返回的是过滤后的数组。但是很多时候,我们只是简单的要求返回第一个通过条件的元素,这个时候,我们就需要做一些处理,所以我把这个过程整理成一个函数 array_first。function array_first($array, ...

PHP读取CSV文件中指定的某几行数据
  • php教程
  • 2021-04-07

PHP读取CSV文件中指定的某几行数据

最近在玩CSV表格比较多,CSV是什么?相信很多人都知道EXCEL表格那么这两者有何区别呢?1.CSV是纯文本文件,excel不是纯文本,excel包含很多格式信息在里面。2.CSV文件的体积会更小,创建分发读取更加方便,适合存放结构化信息,比如记录的导出,流量统计等等。3.CSV文件在windows平台默认的打开方式是excel,但是它的本质是一个文本文件...

PHP教程:time时间类实例代码
  • php教程
  • 2021-03-10

PHP教程:time时间类实例代码

在我们开发过程中,常常用到时间的一些例子,比如昨天,今天,前天,近七天,一周等等。在这里整理了一个时间的完整类php实例,直接实例化,有需要的朋友可以看看大家可以按照下面那个例子,输出你想要得到的日期,在开发过程中,可以直接放入在扩展库里,直接引用即可!<?php header("Content-type:text/html;Charset...

自动推送脚本(适用于百度推送懒人版插件)
  • php教程
  • 2021-02-22

自动推送脚本(适用于百度推送懒人版插件)

有时候我们推送页面URL并不是zblog系统产生的页面甚至当你想要推送其他网站URL的时候可能就需要到另外写脚本或插件。那么在这里给大家送上一个简单的推送脚本,配合zblog百度推送懒人版适用于推送任何网站内容。首先我们在zblog网站根目录新建一个tuisong.php,<?php  require 'zb_system...

php基于curl实现必应Bing API推送方法实例
  • php教程
  • 2021-02-13

php基于curl实现必应Bing API推送方法实例

<?php $arr = array(     'https://www.newbii.cn/' => array(         'url'&nb...

PHP教程:php实现敏感词过滤 停止词实例(附敏感词库下载)
  • php教程
  • 2021-01-13

PHP教程:php实现敏感词过滤 停止词实例(附敏感词库下载)

敏感词、文字过滤是一个网站必不可少的功能,如何设计一个好的、高效的过滤算法是非常有必要的。在实现敏感词过滤的算法中,我们必须要减少运算,而 DFA 在 DFA 算法中几乎没有什么计算,有的只是状态的转换。所以想更高效的进行敏感词的过滤,需要使用 DFA 算法。/**  * Notes: [DoFilterWords ...

PHP教程:PHP判断远程文件是否存在
  • php教程
  • 2021-01-11

PHP教程:PHP判断远程文件是否存在

这个代码可以判断远程文件或者本地代码,但其实主要作用就是判断远程文件,判断本地文件建议直接是要file_exists函数。function my_file_exists($file) {     if(preg_match('/^http:\/\//',$file)){ ...

PHP教程:php实现生成微博短网址实例
  • php教程
  • 2021-01-09

PHP教程:php实现生成微博短网址实例

下面分享一下通过php生成短网址的那个过程(这里将长网址生成短至5-6位字符长度并且还需要是唯一的):<?php function code62($x) {     $show = '';     while($...

PHP教程:通用PHP分页类、分页显示实例方法
  • php教程
  • 2020-12-09

PHP教程:通用PHP分页类、分页显示实例方法

本文通过PHP分页显示实例方法,结合实例形式分析了php数据库查询及内容结合HTML分页显示的简单操作技巧,希望对大家学习PHP程序设计有所帮助。先来看个实例<?php header("content-type:text/html;charset=utf-8"); $currentpage = 1; if(...

iconv('GBK','UTF-8',$str) 如果$str本来就是utf-8 是不是会乱码?
  • php教程
  • 2020-12-07

iconv('GBK','UTF-8',$str) 如果$str本来就是utf-8 是不是会乱码?

尝试了一下,是直接报错吧,iconv(): Detected an illegal character in input string所以我们先判断是不是utf8,再转码吧,这样保险点mb_detect_encoding — 检测字符的编码echo mb_detect_encoding($str,'UTF-8,GBK')!...