简单的 php 防注入、防跨站 函数
发布时间:2020-05-25 07:58:22 所属栏目:PHP 来源:互联网
导读:简单的 php 防注入、防跨站 函数
|
下面是脚本之家 jb51.cc 通过网络收集整理的代码片段。 脚本之家小编现在分享给大家,也给大家做个参考。 自己写的简单的php防注入、防跨站函数,分享给大家function fn_safe($str_string) {
//直接剔除
$_arr_dangerChars = array(
"|",";","$","@","+","t","r","n",","(",")",PHP_EOL //特殊字符
);
//正则剔除
$_arr_dangerRegs = array(
/* -------- 跨站 --------*/
//html 标签
"/<(script|frame|iframe|bgsound|link|object|applet|embed|blink|style|layer|ilayer|base|meta)s+S*>/i",//html 属性
"/on(afterprint|beforeprint|beforeunload|error|haschange|load|message|offline|online|pagehide|pageshow|popstate|redo|resize|storage|undo|unload|blur|change|contextmenu|focus|formchange|forminput|input|invalid|reset|select|submit|keydown|keypress|keyup|click|dblclick|drag|dragend|dragenter|dragleave|dragover|dragstart|drop|mousedown|mousemove|mouSEOut|mouSEOver|mouseup|mousewheel|scroll|abort|canplay|canplaythrough|durationchange|emptied|ended|error|loadeddata|loadedmetadata|loadstart|pause|play|playing|progress|ratechange|readystatechange|seeked|seeking|stalled|suspend|timeupdate|volumechange|waiting)s*=s*("|')?S*("|')?/i",//html 属性包含脚本
"/w+s*=s*("|')?(java|vb)script:S*("|')?/i",//js 对象
"/(document|location)s*.s*S*/i",//js 函数
"/(eval|alert|prompt|msgbox)s*(.*)/i",//css
"/expressions*:s*S*/i",/* -------- sql 注入 --------*/
//显示 数据库 | 表 | 索引 | 字段
"/shows+(databases|tables|index|columns)/i",//创建 数据库 | 表 | 索引 | 视图 | 存储过程 | 存储过程
"/creates+(database|table|(uniques+)?index|view|procedure|proc)/i",//更新 数据库 | 表
"/alters+(database|table)/i",//丢弃 数据库 | 表 | 索引 | 视图 | 字段
"/drops+(database|table|index|view|column)/i",//备份 数据库 | 日志
"/backups+(database|log)/i",//初始化 表
"/truncates+table/i",//替换 视图
"/replaces+view/i",//创建 | 更改 字段
"/(add|change)s+column/i",//选择 | 更新 | 删除 记录
"/(select|update|delete)s+S*s+from/i",//插入 记录 | 选择到文件
"/inserts+into/i",//sql 函数
"/load_files*(.*)/i",//sql 其他
"/(outfile|infile)s+("|')?S*("|')/i",);
$_str_return = $str_string;
//$_str_return = urlencode($_str_return);
foreach ($_arr_dangerChars as $_key=>$_value) {
$_str_return = str_ireplace($_value,"",$_str_return);
}
foreach ($_arr_dangerRegs as $_key=>$_value) {
$_str_return = preg_replace($_value,$_str_return);
}
$_str_return = htmlentities($_str_return,ENT_QUOTES,"UTF-8",true);
return $_str_return;
}
以上是脚本之家(jb51.cc)为你收集整理的全部代码内容,希望文章能够帮你解决所遇到的程序开发问题。 如果觉得脚本之家网站内容还不错,欢迎将脚本之家网站推荐给程序员好友。 (编辑:安卓应用网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |