php安全之防注入詳細介紹

我們知道Web上提交數據有兩種方式，一種是get、一種是post，那麼很多常見的sql注射就是從get方式入手的，而且注射的語句裡面一定是包含一些sql語句的，因為沒有sql語句，那麼如何進行，sql語句有四大句： select 、update、delete、insert

那麼我們如果在我們提交的數據中進行過濾是不是能夠避免這些問題呢？
於是我們使用正則就構建如下函數：

 代碼如下 復制代碼

/*
函數名稱：inject_check()
函數作用：檢測提交的值是不是含有SQL注射的字符，防止注射，保護服務器安全
參 數：$sql_str: 提交的變量
返 回 值：返回檢測結果，ture or false
函數作者：heiyeluren
*/

function inject_check($sql_str) 

{ 

     return eregi('select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile', $sql_str);    // 進行過濾 

 } 

 

我們函數裡把 select,insert,update,delete, union, into, load_file, outfile /*, ./ , ../ , ' 等等危險的參數字符串全部過濾掉，那麼就能夠控制提交的參數了，程序可以這麼構建：

 代碼如下 復制代碼

<?php 

if (inject_check($_GET['id'])) 

{ 

     exit('你提交的數據非法，請檢查後重新提交！'); 

} 

else 

{ 

    $id = $_GET['id']; 

    echo '提交的數據合法，請繼續！'; 

} 

?> 

假設我們提交URL為：a.php?id=1，那麼就會提示：
"提交的數據合法，請繼續！"
如果我們提交 a.php?id=1%27 select * from tb_name
就會出現提示："你提交的數據非法，請檢查後重新提交！"

那麼就達到了我們的要求。

但是，問題還沒有解決，假如我們提交的是 a.php?id=1asdfasdfasdf 呢，我們這個是符合上面的規則的，但是呢，它是不符合要求的，於是我們為了可能其他的情況，我們再構建一個函數來進行檢查：

 代碼如下 復制代碼

/*
函數名稱：verify_id()
函數作用：校驗提交的ID類值是否合法
參 數：$id: 提交的ID值
返 回 值：返回處理後的ID
函數作者：heiyeluren
*/

function verify_id($id=null) 

{ 

   if (!$id) { exit('沒有提交參數！'); }    // 是否為空判斷 

   elseif (inject_check($id)) { exit('提交的參數非法！'); }    // 注射判斷 

   elseif (!is_numeric($id)) { exit('提交的參數非法！'); }    // 數字判斷 

   $id = intval($id);    // 整型化 

  

   return  $id; 

} 

呵呵，那麼我們就能夠進行校驗了，於是我們上面的程序代碼就變成了下面的：

<?php 

if (inject_check($_GET['id'])) 

{ 

     exit('你提交的數據非法，請檢查後重新提交！'); 

} 

else 

{ 

    $id = verify_id($_GET['id']);    // 這裡引用了我們的過濾函數，對$id進行過濾 

    echo '提交的數據合法，請繼續！'; 

} 

?> 

好，問題到這裡似乎都解決了，但是我們有沒有考慮過post提交的數據，大批量的數據呢？
比如一些字符可能會對數據庫造成危害，比如 ' _ ', ' % '，這些字符都有特殊意義，那麼我們如果進行控制呢？還有一點，就是當我們的php.ini裡面的magic_quotes_gpc = off 的時候，那麼提交的不符合數據庫規則的數據都是不會自動在前面加' '的，那麼我們要控制這些問題，於是構建如下函數：

 代碼如下 復制代碼

/*
函數名稱：str_check()
函數作用：對提交的字符串進行過濾
參 數：$var: 要處理的字符串
返 回 值：返回過濾後的字符串
函數作者：heiyeluren
*/

function str_check( $str ) 

{ 

   if (!get_magic_quotes_gpc())    // 判斷magic_quotes_gpc是否打開 

   { 

      $str = addslashes($str);    // 進行過濾 

 } 

     $str = str_replace("_", "_", $str);    // 把 '_'過濾掉 

     $str = str_replace("%", "%", $str);    // 把' % '過濾掉 

    

   return $str;  

} 

OK，我們又一次的避免了服務器被淪陷的危險。

最後，再考慮提交一些大批量數據的情況，比如發貼，或者寫文章、新聞，我們需要一些函數來幫我們過濾和進行轉換，再上面函數的基礎上，我們構建如下函數：

 代碼如下 復制代碼

/*
函數名稱：post_check()
函數作用：對提交的編輯內容進行處理
參 數：$post: 要提交的內容
返 回 值：$post: 返回過濾後的內容
函數作者：heiyeluren
*/

function post_check($post) 

{ 

   if (!get_magic_quotes_gpc())    // 判斷magic_quotes_gpc是否為打開 

   { 

      $post = addslashes($post);    // 進行magic_quotes_gpc沒有打開的情況對提交數據的過濾 

   } 

   $post = str_replace("_", "_", $post);    // 把 '_'過濾掉 

   $post = str_replace("%", "%", $post);    // 把' % '過濾掉 

   $post = nl2br($post);    // 回車轉換 

   $post= htmlspecialchars($post);    // html標記轉換 

  

   return $post; 

}