王明昌博客如果你对该文章中的内容有疑问/不解,可以点击此处链接提问
要注明问题和此文章链接地址 点击此处跳转
<code class="">/*************************
说明:
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能:
防注入
*************************/
//你想要过滤的非法字符
$ArrFiltrate=array("'","or","and","union","where","&","join");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
function FunStringExist($StrFiltrate,$ArrFiltrate){
foreach ($ArrFiltrate as $key=>$value){
//var_dump($value)exit();
if (@eregi($value,$StrFiltrate)){ //eregi(规则,被验证字符串) 不区分大小写的正则表达式匹配,该函数只支持php 4,5版本
return true;
}
}
return false;
}
//合并$_POST 和 $_GET ,把它们的值都存到 $ArrPostAndGet[] 这个数组里
$HTTP_POST_VARS=$_POST;
$HTTP_GET_VARS=$_GET;
foreach($HTTP_POST_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARS as $key=>$value){
$ArrPostAndGet[]=$value;
}
//var_dump($ArrPostAndGet);exit;
//验证开始
foreach($ArrPostAndGet as $key=>$value){
if (FunStringExist($value,$ArrFiltrate)){ //返回 true 说明含有非法字符串
if (empty($StrGoUrl)){
//让它返回上一步,也可以让它退出登录,还可把本次操作加入日志(该用户非法操作)
echo "<script language='javascript'>history.go(-1);</script>";
}else{
echo "<script language='javascript'>window.location='".$StrGoUrl."';</script>";
}
exit;
} else{
//不含有非法字符串,不做操作
$_GET=$_GET;
$_POST=$_POST;
}
}
/***************结束防止PHP注入*****************/
</code>
