3 `$getfilter``$postfilter` 和 `$cookiefilter` 變量定義了正則表達式模式，用于檢測惡意的 SQL 注入嘗試4 函數(shù) `StopAttack` 用于阻止?jié)撛诘?SQL 注入攻擊它檢查通過 GETPOST 和 COOKIE 傳遞的參數(shù)5 如果 `$_REQUEST#39securityToken#39` 未設(shè)置，且參數(shù)值與定義的模式匹配，`StopA。

如果是字符型就用addslashes過濾一下，然后再過濾”%”和”_”如search=addslashes$searchsearch=str_replace“_”，”\_”，$searchsearch=str_replace“%”，”\%”，$search當然也可以加php通用防注入代碼 PHP通用防注入安全代碼 說明判斷傳遞的變量中是否含有非法字符 如$_POST。

function inject_check$Sql_Str 自動過濾Sql的注入語句$check=preg_match#39selectinsertupdatedelete\#39*\*\\\\\unionintoload_fileoutfilei#39，$Sql_Strif $check echo #39alertquot系統(tǒng)警告\n\n請不要嘗試在參數(shù)中包含非法字符嘗試注入quot#39exit。

php中addslashes函數(shù)與sql防注入具體分析如下addslashes可會自動給單引號，雙引號增加\，這樣我們就可以安全的把數(shù)據(jù)存入數(shù)據(jù)庫中而不黑客利用，參數(shù)#39az#39界定所有大小寫字母均被轉(zhuǎn)義，代碼如下復(fù)制代碼 代碼如下echo addcslashes#39foo #39，#39az#39 輸出foo str=quotis your name o。

首先，可以使用MySQLi擴展如果你使用的是非MySQL數(shù)據(jù)庫，例如PostgreSQL，可以通過使用`pg_prepare`和`pg_execute`方法實現(xiàn)類似功能PDOPHP Data Objects則提供了更廣泛的兼容性在設(shè)置數(shù)據(jù)庫連接時，確保關(guān)閉準備模擬選項，以確保真正的SQL語句準備和參數(shù)分離例如，如下代碼展示了如何正確設(shè)置。

SELECTUPDATE+？SETINSERTs+INTO+？VALUESSELECTDELETE+？FROMCREATEALTERDROPTRUNCATEs+TABLEDATABASEquot $postfilter=quotbandorb1，6？=ltbinbblikeb*+？*lts*scriptbbEXECbUNION+？SELECTUPDATE。

1函數(shù)的構(gòu)建 function inject_check$sql_str return eregi#39selectinsertupdatedelete\#39*\*\\\\\unionintoload_fileoutfile#39， $sql_str 進行過濾 function verify_id$id=null if ！$id exit#39沒有提交參數(shù)#39 是否為空判斷。

`member` WHERE id=#39$_GET#39id#39執(zhí)行的SQL語句 _GET#39id#39=#398 UNION SELECT * FROM `member`#39隱患構(gòu)造畸形語句進行注入防止注入的總的原則是ltlt根據(jù)具體業(yè)務(wù)邏輯，對來源于用戶的值的范圍，類型和正負等進行限制和判斷，同時ltlt盡量使用THINKPHP自帶的SQL函數(shù)和寫法。

使用PDO防注入這是最簡單直接的一種方式，當然低版本的PHP一般不支持PDO方式去操作，那么就只能采用其它方式采用escape函數(shù)過濾非法字符escape可以將非法字符比如 斜杠等非法字符轉(zhuǎn)義，防止sql注入，這種方式簡單粗暴，但是不太建議這么用自己手寫過濾函數(shù)，手寫一個php sql非法參數(shù)過濾函數(shù)來說還是比較。

1將360_safe3php傳到要包含的文件的目錄 2在頁面中加入防護，有兩種做法，根據(jù)情況二選一即可a在所需要防護的頁面加入代碼 require_once#39360_safe3php#39就可以做到頁面防注入跨站 如果想整站防注，就在網(wǎng)站的一個公用文件中，如數(shù)據(jù)庫鏈接文件中添加require_once#39。

但更為推薦的做法是使用參數(shù)綁定參數(shù)綁定能夠確保傳遞給SQL語句的數(shù)據(jù)與命令分開，這樣即使數(shù)據(jù)中包含惡意代碼，也不會被數(shù)據(jù)庫執(zhí)行在ThinkPHP中，可以通過預(yù)處理語句或者查詢構(gòu)造器的方式來實現(xiàn)參數(shù)綁定其次，查詢構(gòu)造器是ThinkPHP中另一個重要的防SQL注入工具查詢構(gòu)造器提供了一種鏈式調(diào)用的方式來構(gòu)建。

詳細 1 預(yù)編譯語句的工作原理 預(yù)編譯語句將SQL查詢分為兩個步驟首先，數(shù)據(jù)庫預(yù)編譯SQL語句模板，然后，應(yīng)用程序綁定參數(shù)到該模板由于參數(shù)值是在預(yù)編譯后傳入的，因此，它們不會被解釋為SQL代碼，從而防止了SQL注入2 使用預(yù)編譯語句的例子 以PHP和MySQL為例，假設(shè)我們要從數(shù)據(jù)庫中查詢某個用戶。

User = MquotUserquot 實例化User對象 Userfind$_GETquotidquot即便用戶輸入了一些惡意的id參數(shù)，系統(tǒng)也會強制轉(zhuǎn)換成整型，避免惡意注入這是因為，系統(tǒng)會對數(shù)據(jù)進行強制的數(shù)據(jù)類型檢測，并且對數(shù)據(jù)來源進行數(shù)據(jù)格式轉(zhuǎn)換而且，對于字符串類型的數(shù)據(jù)，ThinkPHP都會進行escape_string處理real_。

$pwd#39quotstmt = $pdoquery$sqlinfo = $stmtfetchPDOFETCH_ASSOCif $info echo quot登錄成功quot else echo quot登錄失敗quot ？ ```注意以上代碼中的數(shù)據(jù)庫連接信息表名字段名等需要根據(jù)實際情況進行替換同時，為了防止SQL注入攻擊，建議使用預(yù)處理語句。

首先新建，內(nèi)容為phpinfo然后壓縮成zip，結(jié)構(gòu)如下圖然后訪問網(wǎng)址，成功包含壓縮文件內(nèi)的把我們輸入的變量和include后面的變量合起來就是ziptestzip#，代表當前目錄下的testzip壓縮包里面的，于是包含成功0x04 通用防注入系統(tǒng)get。

但是，當你使用如下代碼時，卻沒有”防止SQL注入”效果而官方文檔卻說可以防止SQL注入modelquery‘select * from user where id=%d and status=%s’，$id，$status或者 modelquery‘select * from user where id=%d and status=%s’，array$id，$status原因ThinkPHPLibCore。