PHP 过滤 $_POST 或 $_GET 接收的参数

分类：PHP基础时间：2019-10-13浏览：3704

/************************* 
说明： 
判断传递的变量中是否含有非法字符 
如$_POST、$_GET 
功能： 
防注入 
*************************/
//你想要过滤的非法字符 
$ArrFiltrate=array("'","or","and","union","where","&","join"); 

//出错后要跳转的url,不填则默认前一页 

$StrGoUrl=""; 

//是否存在数组中的值 

function FunStringExist($StrFiltrate,$ArrFiltrate){ 

    foreach ($ArrFiltrate as $key=>$value){ 
//var_dump($value)exit();
 if (@eregi($value,$StrFiltrate)){   //eregi(规则,被验证字符串) 不区分大小写的正则表达式匹配,该函数只支持php 4,5版本

    return true; 

 } 

} 

return false; 

} 

 //合并$_POST 和 $_GET ,把它们的值都存到 $ArrPostAndGet[] 这个数组里
$HTTP_POST_VARS=$_POST;
$HTTP_GET_VARS=$_GET;
foreach($HTTP_POST_VARS as $key=>$value){ 

    $ArrPostAndGet[]=$value; 

} 
foreach($HTTP_GET_VARS as $key=>$value){ 

    $ArrPostAndGet[]=$value; 

} 
//var_dump($ArrPostAndGet);exit;

 //验证开始 

foreach($ArrPostAndGet as $key=>$value){ 

    if (FunStringExist($value,$ArrFiltrate)){ //返回 true 说明含有非法字符串

        if (empty($StrGoUrl)){ 
//让它返回上一步,也可以让它退出登录,还可把本次操作加入日志(该用户非法操作)
            echo ""; 

        }else{ 

            echo ""; 

        } 

        exit; 

    } else{
    //不含有非法字符串,不做操作
        $_GET=$_GET;
        $_POST=$_POST;

    }

} 

/***************结束防止PHP注入*****************/

本站文章如未注明出处均为原创，转载请注明出处，如有侵权请邮件联系站长。