轻松实现php代码防注入,保护代码安全!

tznktg · 发表于 2008-10-18 23:51:22

今天写代码的时候猛然想到是不能能够通过一个文件来处理整个网站中所有可能出现注入的地方进行防范呢？这样就能够不用在每个程序里对每个变量进行过滤，节省了时间和代码。

我们主要是从两点出发，因为我们的获取的变量一般都是通过GET或者POST方式提交过来的，那么我们只要对GET和POST过来的变量进行过滤，那么就能够达到防止注入的效果。而且我们的PHP真是非常好，已经内置了$_GET和$_POST两个数组来存储所有变量，我们要做的工作就是过滤每个变量就可以了。

下面看具体的代码：

php代码:
/*
PHP118= 全球最大的PHP中文社群 = PHPer的网上家园
*/

/* Author: heiyeluren */
/* 过滤所有GET过来变量 */
foreach ($_GET as $get_key=%26gt;$get_var)
{
if (is_numeric($get_var))
if (is_numeric($get_var)) {
$get[strtolower($get_key)] = get_int($get_var);
} else {
$get[strtolower($get_key)] = get_str($get_var);
}
}

/* 过滤所有POST过来的变量 */
foreach ($_POST as $post_key=%26gt;$post_var)
{
if (is_numeric($post_var)) {
$post[strtolower($post_key)] = get_int($post_var);
} else {
$post[strtolower($post_key)] = get_str($post_var);
}
}

/* 过滤函数 */
//整型过滤函数
function get_int($number)
{
return intval($number);
}
//字符串型过滤函数
function get_str($string)
{
if (!get_magic_quotes_gpc()) {
return addslashes($string);
}
return $string;
}

那么我们把以上代码放到一个公共的文件里，比如security.inc.php里面，每个文件里都include一下这个文件，那么就能够给任何一个程序进行提交的所有变量进行过滤了，就达到了我们一劳永逸的效果。

另外，还有一些其他的过滤方法，比如采用我以前使用的关键字过滤的方法：http://dev.csdn.net/article/71/71475.shtm
还可以参考三尺寒冰写的方法：http://www.fanghei.com/html/2005-06/20050607114008.htm

方法是不同的，但是核心就是为了我们的代码更加安全。

		自动登录	找回密码
密码			注册

全国各地医院查询	重量转换换算	RGB颜色查询	交通标志大全	各类快递查询
简体繁体转换	黄金价格实时走势	万年历查询	实时汇率转换	列车时刻查询
在线翻译工具	CSS中文手册	HTML学习教程	MySQL中文手册	JavaScript中文手册
PHP安全基础手册	PHP5面向对象编程教程	正则表达式系统教程	SQL Server精华	Apache 2.2 中文手册
DOS命令全集指南	windows脚本技术中文版	股票行情查询	历史上的今天	邮编区号查询
长度转换换算	货币汇率转换	常用电话号码	体育彩票查询	手机位置查询
域名Whois信息查询	谷歌PR值查询	台州网站建设	台州网站开发	台州域名注册
天气预报查询	长度转换换算器	在线电子地图	车牌号码查询	中国百家姓查询