本文章提供這款防sql注入代碼是一款php sql雙過濾非法字符的函數,他可以根據用戶自定的防sql注入,先是過濾一些sql命令,再是就是把post get 過濾一次,最好驗證.

php防注入代碼如下:

1. $arrfiltrate=array("update","delete","selert","drop","exec","cast","'","union"); 
2. //出錯后要跳轉的url,不填則默認前一頁 
3. $strgourl=""; 
4. //是否存在數組中的值 
5. function funstringexist($strfiltrate,$arrfiltrate){ 
6.     foreach ($arrfiltrate as $key=>$value){ 
7.         if (eregi($value,$strfiltrate)){ 
8.             return true; 
9.         } 
10.     } 
11. return false; 
12. } 
13. //合并$_post 和 $_get 
14. if(function_exists(array_merge)){ 
15.     $arrpostandget=array_merge($http_post_vars,$http_get_vars); 
16. }else{ 
17.     foreach($http_post_vars as $key=>$value){ 
18.         $arrpostandget[]=$value; 
19.     } 
20.     foreach($http_get_vars as $key=>$value){ 
21.     $arrpostandget[]=$value; 
22.     }//開源代碼Vevb.com 
23. } 
24. //驗證開始 
25. foreach($arrpostandget as $key=>$value){ 
26.     if (funstringexist($value,$arrfiltrate)){ 
27.         echo " "; 
28.         if (emptyempty($strgourl)){ 
29.             echo " "; 
30.         }else{ 
31.             echo " "; 
32.         } 
33.         echo "<script>alert('系統檢測到非法字符！');history.back();</script>"; 
34.         exit(); 
35.     } 
36. }