介紹兩種方法吧,首先請把以下代碼保存為safe.php放在網站根目錄下,然後在每個php文件前加include("/safe.php");即可:
php防注入代碼方法一:
<?php //要過濾的非法字符 $ArrFiltrate=array("‘",";","union"); //出錯後要跳轉的url,不填則默認前一頁 $StrGoUrl=""; //是否存在數組中的值 function FunStringExist($StrFiltrate,$ArrFiltrate) { foreach ($ArrFiltrate as $key=>$value) { if (eregi($value,$StrFiltrate)) { return true; } } return false; } //合並$_POST 和 $_GET if(function_exists(array_merge)) { $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); } else { foreach($HTTP_POST_VARS as $key=>$value) { $ArrPostAndGet[]=$value; } foreach($HTTP_GET_VARS as $key=>$value) { $ArrPostAndGet[]=$value; } } //驗證開始 foreach($ArrPostAndGet as $key=>$value) { if (FunStringExist($value,$ArrFiltrate)) { echo "<script language="javascript">alert("非法字符");</script>"; if (emptyempty($StrGoUrl)) { echo "<script language="javascript">history.go(-1);</script>"; } else { echo "<script language="javascript">window.location="".$StrGoUrl."";</script>"; } exit; } } ?>
php防注入代碼方法二:
<?php /* 過濾所有GET過來變量 */ foreach ($_GET as $get_key=>$get_var) { if (is_numeric($get_var)) { $get[strtolower($get_key)] = get_int($get_var); } else { $get[strtolower($get_key)] = get_str($get_var); } } /* 過濾所有POST過來的變量 */ foreach ($_POST as $post_key=>$post_var) { if (is_numeric($post_var)) { $post[strtolower($post_key)] = get_int($post_var); } else { $post[strtolower($post_key)] = get_str($post_var); } } /* 過濾函數 */ //整型過濾函數 function get_int($number) { return intval($number); } //字符串型過濾函數 function get_str($string) { if (!get_magic_quotes_gpc()) { return addslashes($string); } return $string; } ?>