防止注入的简单方法GET,POST防御
#$_GET防御
$URI = ltrim( strtolower( urldecode( trim($_SERVER["REQUEST_URI"]))),'/');
#获取整个url的数据
$ZHURU = array( '<', '>', '..', '(', ')','"',"'","*",'[',']','_','{','}','$');
#自定义防御参数一般
foreach( $ZHURU as $anyou){
if( strpos( $URI , $anyou) !== false){
header( 'HTTP/1.1 404 Not Found');
exit ( '<script>alert("error");window.location.href="/";</script>"');
}
}
判断包含直接提示错误
#$_POST防御
if( $_POST ){
if( strstr( strtolower( json_encode( $_POST) ), '一般是表的前缀') ) exit('feifa');
}
POST防御简单很多 一般不让跨表 表的前缀和 数据库库名一样 限制好 mysql 的一般权限
大部分是无法 注入的
为什么简单的几条就能防止注入而使用的人却很少!