放到公用调用文件(如conn数据库链接文件),对所有get或post的数据进行过滤特殊字符串,以实现简单有效的sql注入过滤
function inject_check($sql_str) {
return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str);
}
if (inject_check($_server['query_string'])==1 or inject_check(file_get_contents("php://input"))==1){
//echo "警告 非法访问!";
header("location: error.php");
}
如对本文有疑问,
点击进行留言回复!!
网友评论