求php防止被sql 注入攻擊的過(guò)濾用戶輸入內(nèi)容的函數(shù)

function?clean($v)?{?

成都創(chuàng)新互聯(lián)公司從2013年開(kāi)始，先為崇信等服務(wù)建站，崇信等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為崇信企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

//判斷magic_quotes_gpc是否為打開(kāi)

if?(!get_magic_quotes_gpc())?{

//進(jìn)行magic_quotes_gpc沒(méi)有打開(kāi)的情況對(duì)提交數(shù)據(jù)的過(guò)濾

$v?=?addslashes($v);

}

//把'_'過(guò)濾掉

$v?=?str_replace("_",?"\_",?$v);

//把'%'過(guò)濾掉?

$v?=?str_replace("%",?"\%",?$v);

//把'*'過(guò)濾掉?

$v?=?str_replace("*",?"\*",?$v);

//回車(chē)轉(zhuǎn)換

$v?=?nl2br($v);

//html標(biāo)記轉(zhuǎn)換

$v?=?htmlspecialchars($v);

return?$v;?

}

如果需要，還可以屏蔽一下危險(xiǎn)字符，例如insert， update， delete等

//將update去掉

$v?=?str_replace("update",?"",?$v);

最后，在拼裝sql語(yǔ)句時(shí)，用戶輸入的東西，全括在單引號(hào)內(nèi)

PHP數(shù)據(jù)過(guò)濾的幾種方式

調(diào)度方法

這種方法是用一個(gè)單一的 php 腳本調(diào)度（通過(guò) URL）。其他任何操作在必要的時(shí)候使用include或require包含進(jìn)來(lái)。這種方法一般需要每個(gè) URL 都傳遞一個(gè)單獨(dú)的GET變量用于調(diào)度。這個(gè)GET變量可以被認(rèn)為是用來(lái)替代腳本名稱的更加簡(jiǎn)化的設(shè)計(jì)。

ThinkPHP獲取表單提交過(guò)來(lái)的賬戶輸入的數(shù)據(jù)，我是不是要做一些過(guò)濾

表單提交過(guò)來(lái)的數(shù)據(jù)要進(jìn)行數(shù)據(jù)庫(kù)操作的話是必須要盡心字符過(guò)濾的，防止SQL注入，保證數(shù)據(jù)安全

PHP提交自動(dòng)過(guò)濾掉input框內(nèi)的指定字符，怎么寫(xiě)呢？

tr_replace() 函數(shù)使用一個(gè)字符串替換字符串中的另一些字符。

語(yǔ)法

str_replace(find,replace,string,count)

參數(shù)

描述

find 必需。規(guī)定要查找的值。

replace 必需。規(guī)定替換 find 中的值的值。

string 必需。規(guī)定被搜索的字符串。

count 可選。一個(gè)變量，對(duì)替換數(shù)進(jìn)行計(jì)數(shù)。

提示和注釋

注釋：該函數(shù)對(duì)大小寫(xiě)敏感。請(qǐng)使用 str_ireplace() 執(zhí)行對(duì)大小寫(xiě)不敏感的搜索。

注釋：該函數(shù)是二進(jìn)制安全的。

例子

例子 1

?php

echo str_replace("world","John","Hello world!");

?

輸出：

Hello John!

例子 2

在本例中，我們將演示帶有數(shù)組和 count 變量的 str_replace() 函數(shù)：

?php

$arr = array("blue","red","green","yellow");

print_r(str_replace("red","pink",$arr,$i));

echo "Replacements: $i";

?

輸出：

Array

(

[0] = blue

[1] = pink

[2] = green

[3] = yellow

)

Replacements: 1

例子 3

?php

$find = array("Hello","world");

$replace = array("B");

$arr = array("Hello","world","!");

print_r(str_replace($find,$replace,$arr));

?

輸出：

Array

(

[0] = B

[1] =

[2] = !

)