站长论坛

标题: PHP中的代码安全和SQL Injection防范 [打印本页]

作者: tzlink 时间: 2008-11-21 17:24
标题: PHP中的代码安全和SQL Injection防范
呵呵，那么我们就能够进行校验了，于是我们上面的程序代码就变成了下面的：

以下为引用的内容：
<?php
if (inject_check($_GET['id']))
{
   exit('你提交的数据非法，请检查后重新提交！');
}
else
{
$id = verify_id($_GET['id']); // 这里引用了我们的过滤函数，对$id进行过滤
echo '提交的数据合法，请继续！';
}
?>

好，问题到这里似乎都解决了，但是我们有没有考虑过post提交的数据，大批量的数据呢？
比如一些字符可能会对数据库造成危害，比如 ' _ ', ' % '，这些字符都有特殊意义，那么我们如果进行控制呢？还有一点，就是当我们的php.ini里面的magic_quotes_gpc = off 的时候，那么提交的不符合数据库规则的数据都是不会自动在前面加' \ '的，那么我们要控制这些问题，于是构建如下函数：

以下为引用的内容：
/*
函数名称：str_check()
函数作用：对提交的字符串进行过滤
参数：$var: 要处理的字符串
返回值：返回过滤后的字符串
函数作者：heiyeluren
*/
function str_check( $str )
{
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开
{
   $str = addslashes($str); // 进行过滤
}
   $str = str_replace("_", "\_", $str); // 把 '_'过滤掉
   $str = str_replace("%", "\%", $str); // 把' % '过滤掉

return $str;
}

OK，我们又一次的避免了服务器被沦陷的危险。

作者: tzlink 时间: 2008-11-21 17:25
标题: PHP中的代码安全和SQL Injection防范
最后，再考虑提交一些大批量数据的情况，比如发贴，或者写文章、新闻，我们需要一些函数来帮我们过滤和进行转换，再上面函数的基础上，我们构建如下函数：

以下为引用的内容：
/*
函数名称：post_check()
函数作用：对提交的编辑内容进行处理
参数：$post: 要提交的内容
返回值：$post: 返回过滤后的内容
函数作者：heiyeluren
*/
function post_check($post)
{
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开
{
   $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉
$post = str_replace("%", "\%", $post); // 把' % '过滤掉
$post = nl2br($post); // 回车转换
$post= htmlspecialchars($post); // html标记转换

return $post;
}

呵呵，基本到这里，我们把一些情况都说了一遍，其实我觉得自己讲的东西还很少，至少我才只讲了两方面，再整个安全中是很少的内容了，考虑下一次讲更多，包括php安全配置，apache安全等等，让我们的安全正的是一个整体，作到最安全。

最后在告诉你上面表达的：1. 初始化你的变量  2. 一定记得要过滤你的变量。

欢迎光临站长论坛 (http://www.tzlink.com/bbs/)