这段程序代码是一款php $_POST、$_GET防注入程序,以前我们也写过很多sql防注入程序,下面来看看这款防注入的php代码吧.

1. <?php 
2. /************************* 
3. 说明： 
4. 判断传递的变量中是否含有非法字符 
5.  
6. 如$_POST、$_GET 
7. 功能： 
8. 防注入 
9. *************************/ 
10. //要过滤的非法字符 
11. //开源代码phpfensi.com 
12. $ArrFiltrate=array("'","or","and","union","where"); 
13. //出错后要跳转的url,不填则默认前一页 
14. $StrGoUrl=""; 
15. //是否存在数组中的值 
16. function FunStringExist($StrFiltrate,$ArrFiltrate){ 
17. foreach ($ArrFiltrate as $key=>$value){ 
18. if (eregi($value,$StrFiltrate)){ 
19.   return true; 
20. } 
21. } 
22. return false; 
23. } 
24.  
25. //合并$_POST 和 $_GET 
26.  
27. if(function_exists(array_merge)){ 
28. $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); 
29. }else{ 
30. foreach($HTTP_POST_VARS as $key=>$value){ 
31. $ArrPostAndGet[]=$value; 
32. } 
33. foreach($HTTP_GET_VARS as $key=>$value){ 
34. $ArrPostAndGet[]=$value; 
35. } 
36. } 
37.  
38. //验证开始 
39.  
40. foreach($ArrPostAndGet as $key=>$value){ 
41. if (FunStringExist($value,$ArrFiltrate)){ 
42. echo "<script language='javascript教程'>alert('传递的信息中不得包含{',or,and,union}等非法字符请您把他们换成{‘,ＯＲ,ＡＮＤ,ＵＮＩＯＮ}');</script>"; 
43. if (emptyempty($StrGoUrl)){ 
44. echo "<script language='javascript'>history.go(-1);</script>"; 
45. }else{ 
46. echo "<script language='javascript'>window.location='".$StrGoUrl."';</script>"; 
47. } 
48. exit; 
49. } 
50. } 
51. /***************结束防止PHP注入*****************/ 
52. ?> 

Tags: $_POST $_GET 防注入程序

分享到：