PHP在使用正则表达式验证,防注入的时候要注意一下的细节

如下:这是一个防止用户输入的数据中包含SQL的一些关键字的正则表达式

之前一直认为这写的很正确,没多大的问题,而且自己测试也没问题,

因为关键字包含 And,而如果用户输入andy的时候呢,汗,所以还得结合

SQL的一些特点来对这个正则表达式进行修改

注:\s:在正则表达式中表示空格;正则表达式最后的小"i"表示不区分大小写

做出的修改是:select,insert,update,delete这几个关键字,使用的时候前面有可能有或没有空格,但后面必须有一个空格,

所以变成 [\s]*select\s

而and,or,union这些,因为必须前面一个空格,后面一个空格才能生效

所以改成 \sand\s

function inject_check($Sql_Str) {//检查Sql的注入语句,各种关键字。

//原来是这样的:/select|insert|update|delete|and|or|\‘|\\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i
      //$check=preg_match(‘/[\s]*select\s|[\s]*insert\s|[\s]*update\s|                        [\s]*delete\s|\sand\s|\sor\s|\‘|\\*|\*|\.\.\/|\.\/|\sunion\s|\sinto\s|load_file|outfile/i‘,$Sql_Str);

//不过这样太难看了,所以稍微修改一下,

         $check=preg_match(‘/[\s]*(select|insert|update|delete)\s|\s(and|or|join|like|regexp|where|union|into)\s|\#|\‘|\\*|\*|\.\.\/|\.\/|load_file|outfile/i‘,$Sql_Str);
      if ($check) {
           echo ‘<script language="JavaScript">alert("Warnning!!\r\n‘.$Sql_Str.‘ is invalid.");</script>‘;
           exit();
     }else{
          return $Sql_Str;
     }
}

时间: 2024-10-01 06:45:09

PHP在使用正则表达式验证,防注入的时候要注意一下的细节的相关文章

asp.net使用ODP的防注入登录验证程序

网上有很多SQL连接方式的登录验证,但没有oracle连接方式的,我摸索了一上午写了这个可执行的函数,分享给大家 // 用户登录检查 public bool LoginCheck(string f_LoginName, string f_LoginPass) { bool result = false; // 正则表达式检查 if (Regex.IsMatch(f_LoginName,@"^[a-zA-Z0-9]{1,15}$") && Regex.IsMatch(f_

简单实用的PHP防注入类实例

这篇文章主要介绍了简单实用的PHP防注入类实例,以两个简单的防注入类为例介绍了PHP防注入的原理与技巧,对网站安全建设来说非常具有实用价值,需要的朋友可以参考下 本文实例讲述了简单实用的PHP防注入类.分享给大家供大家参考.具体如下: PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全. PHP防注入类代码如下: 复制代码 代码如下: <?php /**  * 参数处理类  *

asp防注入安全问题

一.古老的绕验证漏洞虽然古老,依然存在于很多小程序之中,比如一些企业网站的后台,简单谈谈.这个漏洞出现在没有对接受的变量进行过滤,带入数据库判断查询时,造成SQL语句的逻辑问题.例如以下代码存在问题:username=request("username")password=request("password")sql = "select * from user where username='" & username & &quo

PHP防注入

php网站如何防止sql注入? 网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的. 今天我们讲讲PHP注入的安全规范,防止自己的网站被sql注入. 如今主流的网站开发语言还是php,那我们就从php网站如何防止sql注入开始说起: Php注入的安全防范通过上面的过程,我们可以了解到php注入的原理和手法,当然我们也同样可以制定出相应该的防范方法:首先是对服务器的安全设置,这里主要是php+mysql

sql 防注入 维基百科

http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A SQL攻击(SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞.简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏. 有部份人认为SQL注入攻击是只针对Mi

Android正则表达式验证邮箱地址

1 // 邮箱有效性验证 2 Pattern pattern = Pattern 3 .compile("\\w+([-+.]\\w+)*@\\w+([-.]\\w+)*\\.\\w+([-.]\\w+)*"); 4 Matcher mc = 5 pattern.matcher(RegistMail.getText().toString().trim()); 其中RegistMail为一个EditText控件,用来处理用户的邮箱输入. Android正则表达式验证邮箱地址,布布扣,bu

php之防注入程序绕过浅谈

<?php/*判断传递的变量是否含有非法字符如:$_POST/$_GET功能:SQL防注入系统*/ //屏蔽错误提示error_reporting(7); //需要过滤的字符 $ArrFiltrate = array("'", "or", "and", "union", "where"); //1.如果规则不完全,也会引起安全问题 //出错跳转的URL$StrGoUrl = "";

js正则表达式:验证邮箱格式、密码复杂度、手机号码、QQ号码

直接上代码 Java 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83

绕过防注入系统的方法

路过这个网站,检测了一下.http://www.xxx.cn/Article.asp?ID=117 and 1=1直接返回主页http://www.xxx.cn/Article.asp?ID=117 or 1=1直接返回主页http://www.xxx.cn/Article.asp?ID=117 or没有返回主页 没有过滤orhttp://www.xxx.cn/Article.asp?ID=117 and直接返回主页 看来过滤了andhttp://www.xxx.cn/Article.asp?I