PHP中的代码安全和SQL Injection防范

tzlink

呵呵，那么我们就能够进行校验了，于是我们上面的程序代码就变成了下面的：

以下为引用的内容：
<?php
if (inject_check($_GET['id']))
{
     exit('你提交的数据非法，请检查后重新提交！');
}
else
{
    $id = verify_id($_GET['id']);    // 这里引用了我们的过滤函数，对$id进行过滤
    echo '提交的数据合法，请继续！';
}
?>  


好，问题到这里似乎都解决了，但是我们有没有考虑过post提交的数据，大批量的数据呢？
比如一些字符可能会对数据库造成危害，比如 ' _ ', ' % '，这些字符都有特殊意义，那么我们如果进行控制呢？还有一点，就是当我们的php.ini里面的magic_quotes_gpc = off 的时候，那么提交的不符合数据库规则的数据都是不会自动在前面加' \ '的，那么我们要控制这些问题，于是构建如下函数：

以下为引用的内容：
/*
函数名称：str_check()
函数作用：对提交的字符串进行过滤
参    数：$var: 要处理的字符串
返 回 值：返回过滤后的字符串
函数作者：heiyeluren
*/
function str_check( $str )
{
   if (!get_magic_quotes_gpc())    // 判断magic_quotes_gpc是否打开
   {
      $str = addslashes($str);    // 进行过滤
}
     $str = str_replace("_", "\_", $str);    // 把 '_'过滤掉
     $str = str_replace("%", "\%", $str);    // 把' % '过滤掉
   
   return $str;
}



OK，我们又一次的避免了服务器被沦陷的危险。

tzlink

最后，再考虑提交一些大批量数据的情况，比如发贴，或者写文章、新闻，我们需要一些函数来帮我们过滤和进行转换，再上面函数的基础上，我们构建如下函数：

以下为引用的内容：
/*
函数名称：post_check()
函数作用：对提交的编辑内容进行处理
参    数：$post: 要提交的内容
返 回 值：$post: 返回过滤后的内容
函数作者：heiyeluren
*/
function post_check($post)
{
   if (!get_magic_quotes_gpc())    // 判断magic_quotes_gpc是否为打开
   {
      $post = addslashes($post);    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
   }
   $post = str_replace("_", "\_", $post);    // 把 '_'过滤掉
   $post = str_replace("%", "\%", $post);    // 把' % '过滤掉
   $post = nl2br($post);    // 回车转换
   $post= htmlspecialchars($post);    // html标记转换

   return $post;
}  


呵呵，基本到这里，我们把一些情况都说了一遍，其实我觉得自己讲的东西还很少，至少我才只讲了两方面，再整个安全中是很少的内容了，考虑下一次讲更多，包括php安全配置，apache安全等等，让我们的安全正的是一个整体，作到最安全。

最后在告诉你上面表达的：1. 初始化你的变量  2. 一定记得要过滤你的变量。