PHP防注入与伪静态

PHP防注入话不多说直接看代码

PHP防注入，主要是为了防止恶意写入后台数据库； //防注入函数 function inject_check($sql_str){ $check=eregi('select|insert|update|delete|/'|///*|/*|/././/|/.//|union|into|load_file |outfile', $sql_str); if($check){ echo "输入非法内容"; exit(); }else{ return $sql_str; } } //接收传递参数后进行转换 $_GET[type]=inject_check($_GET[type]); //之后再使用转换后的参数

PHP伪静态函数，本人原创，仅供学习交流使用，如用于正常开发出现安全问题一切与本人无关。

/** * @abstract 处理PHP URL 实习伪静态功能 * @author yangqijun 2011-03-07 youngqj@126.com * @version 1.0 */ function url_rewrite(){ global $_GET; $url=array(); $tem=array(); $nav=$_SERVER["REQUEST_URI"]; $script_name=$_SERVER["SCRIPT_NAME"]; $info=$_SERVER['PATH_INFO']; if(str_isNULL($info)) { return false; } if(IS_REWRITE) //<< 判断服务器是否开启rewrite 模块 { $nav=$script_name.$info; } $nav=substr(ereg_replace("^$script_name","",urldecode($nav)),1); if(substr($nav,strlen($nav)-1,1) == '/') { $nav = substr($nav,0,-1); } $nav=strtolower($nav); $_GET = explode("/",$nav); if(strpos($_GET[0],'&')) { $arg=explode('&',$_GET[0]); $url[0]=$arg[0]; foreach ($arg as $k=>$val) { if(strpos($val,'=')) { $param=explode('=',$val); $tem[$param[0]]= $param[1] ; } } $url[1]=$tem; $arg=$url; } else { $arg =$_GET[0]; } return $arg ; unset($tem); unset($url); }

简单调用代码如下：

define('IS_REWRITE',false); //服务器是否开启rewrite session_start(); include 'function.php'; $filename = basename($_SERVER['SCRIPT_NAME']); $arg=url_rewrite(); $route=array(); if(!$arg) { if(!check_userLogin()) { header("Location:$filename/login"); } else { header("Location:$filename/demo"); } } else if(!is_array($arg)&&$arg!='login'&&$arg!='reg') { if(!check_userLogin()) { header("Location:login"); } $controller=$arg; } else if(is_array($arg)) { if (is_array($arg[1])) { foreach ( $arg[1] as $key => $value ) { $route [$key] = $value; } } $controller=$arg[0]; } else { $controller=$arg; } display($controller);

上代码中的display（）函数如下：

function display($view) { global $runtime,$route; @extract($route); $classname = ucwords(strtolower($view)); $view = $view .'.php'; $viewpath = $view; $siteurl='http://'.$_SERVER[HTTP_HOST].':'.$_SERVER[SERVER_PORT].'/'.SYS_DIR; if (! file_exists ( $viewpath )) exit ( 'The views ' . $view . ' is not exists!' ); require $viewpath; }

最后伪静态路径为index.php/login&username=demo&password=123

PS:根据自己需要可以修改url_rewrite（）函数里的分隔符 比如可以将&改为-