❶ 谁能给我这一个php防sql注入的函数啊,功能越强大越好
functioninject_check($Sql_Str){//自动过滤Sql的注入语句。
$check=preg_match('/select|insert|update|delete|'|\*|*|../|./|union|into|load_file|outfile/i',$Sql_Str);
if($check){
echo'<scriptlanguage="JavaScript">alert("系统警告:
请不要尝试在参数中包含非法字符尝试注入!");</script>';
exit();
}else{
return$Sql_Str;
}
}我这个是自己写的,通过正则判断是否含有危险关键字,希望采纳。
❷ PHP提交自动过滤掉input框内的指定字符,怎么写呢
tr_replace() 函数使用一个字符串替换字符串中的另一些字符。
语法
str_replace(find,replace,string,count)
参数
描述
find 必需。规定要查找的值。
replace 必需。规定替换 find 中的值的值。
string 必需。规定被搜索的字符串。
count 可选。一个变量,对替换数进行计数。
提示和注释
注释:该函数对大小写敏感。请使用 str_ireplace() 执行对大小写不敏感的搜索。
注释:该函数是二进制安全的。
例子
例子 1
<?php
echo str_replace("world","John","Hello world!");
?>
输出:
Hello John!
例子 2
在本例中,我们将演示带有数组和 count 变量的 str_replace() 函数:
<?php
$arr = array("blue","red","green","yellow");
print_r(str_replace("red","pink",$arr,$i));
echo "Replacements: $i";
?>
输出:
Array
(
[0] => blue
[1] => pink
[2] => green
[3] => yellow
)
Replacements: 1
例子 3
<?php
$find = array("Hello","world");
$replace = array("B");
$arr = array("Hello","world","!");
print_r(str_replace($find,$replace,$arr));
?>
输出:
Array
(
[0] => B
[1] =>
[2] => !
)
❸ php如何过滤数组中的空元素使用那个函数
PHP中去除一个数组中的空元素方法很多,但是有一个系统函数是最方便的:
array array_filter ( array $array [, callable $callback )
此函数是依次将 “$array ” 数组中的每个值传递到 “$callback” 函数。如果 “$callback”函数返回 TRUE ,则 “$array” 数组的当前值会被包含在返回的结果数组中。数组的键名保留不变。
如果只需去除数组中的空元素的话,"$callback"可以省略,例如数组:
$arr1=array( "a" => 1 , "b" => 0 , "c" => 3 , "d" => "" , "e" => 5 ,"f"=>array());
//执行
$arr1=array_filter ($arr1);
//结果为
array( "a" => 1 , "c" => 3 , "e" => 5 );
❹ php中,通过$_GET 和 $_POST 取得的数据 安不安全 需要什么过滤函数处理吗
引号过滤有magic_quotes_gpc(服务器配置)
函数addslashes() htmlspecialchars(,ENT_QUOTE);
注意服务器上是否已经开启magic_quotes_gpc
(php>=5.3 已经废弃了它) 如果已经开启,再进行转义会导致双层转义。 另外addslashes() addcslashes() 都不能对数组进行处理,需要写一个递归实现。
你可以使用函数get_magic_quotes_gpc()来检测它是否已经开启
不建议使用addslashes使用addslashes可能会因为数据库编码的问题使得单引号未被转义了解详情可访问:�http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string
❺ php自定义一个函数用来过滤表单的。。比如说filter($_POST);调用filter函数的时
function filter($array){
foreach($array as $k=>$v){
$array[$k]=htmlspecialchars(strip_tags($v));
$array[$k]=eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$array[$k];
}
}
❻ 大家都知道php有个函数htmlspecialchars 可以拿来防止X-S-S.
这个函数是过滤 ' "" 即 单引号 双引号的
在入库的时候如果不过滤 ' ""这样的东西 php程序员应该能明白有多可怕
htmlspecialchars的作用是把:
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 '
< (小于) 成为 <
> (大于) 成为 >
输出的时候不需要特殊处理 浏览器 会把这些标签还原的
一般来说使用 mysql_escape_string() 处理sql语句就可以解决很多问题
不信可以尝试一下
❼ 求php防止被sql 注入攻击的过滤用户输入内容的函数
functionclean($v){
//判断magic_quotes_gpc是否为打开
if(!get_magic_quotes_gpc()){
//进行magic_quotes_gpc没有打开的情况对提交数据的过滤
$v=addslashes($v);
}
//把'_'过滤掉
$v=str_replace("_","\_",$v);
//把'%'过滤掉
$v=str_replace("%","\%",$v);
//把'*'过滤掉
$v=str_replace("*","*",$v);
//回车转换
$v=nl2br($v);
//html标记转换
$v=htmlspecialchars($v);
return$v;
}如果需要,还可以屏蔽一下危险字符,例如insert, update, delete等
//将update去掉
$v=str_replace("update","",$v);
最后,在拼装sql语句时,用户输入的东西,全括在单引号内
❽ php过滤指定字符的函数
explode — 使用一个字符串分割另一个字符串
array explode ( string $delimiter , string $string [, int $limit ] )
此函数返回由字符串组成的数组,每个元素都是 string 的一个子串,它们被字符串 delimiter 作为边界点分割出来。
<?php
//示例1
$pizza="";
$pieces=explode("",$pizza);
echo$pieces[0];//piece1
echo$pieces[1];//piece2
//示例2
$data="foo:*:1023:1000::/home/foo:/bin/sh";
list($user,$pass,$uid,$gid,$gecos,$home,$shell)=explode(":",$data);
echo$user;//foo
echo$pass;//*
?>
❾ 请问用PHP如何过滤空格内置函数或者正则表达式都可以
你是头尾空格吗?
用trim函数
如果是其他位置用str_replace(" ","","$array");
str_replace(find,replace,string,count)
参数 描述
find 必需。规定要查找的值。
replace 必需。规定替换 find 中的值的值。
string 必需。规定被搜索的字符串。
count 可选。一个变量,对替换数进行计数。
❿ php的过滤代码或者函数加在哪个地方
GetSQLValueString($_POST['lyr'], "text"),
GetSQLValueString($_POST['nr'], "text"),
GetSQLValueString($_POST['sh'], "int"),
GetSQLValueString($_POST['ip'], "text"));
哪个$_POST是内容就提前用函数过滤下