SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。(百度百科复制)
/**
* sql注入手动过滤
* @param string $String 需要过滤字符串
* @param string $ErrorReturn 错误返回数据
* @return string 过滤sql注入后的字符串
*/
function sqlInjectCheck($String, $ErrorReturn = '')
{
if (empty($String)) {
return $ErrorReturn;
}
$farr = array(
"/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
"/select\b|insert\b|update\b|delete\b|drop\b|;|\"|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is",
);
$String = preg_replace($farr, '', $String);
$String = strip_tags($String);
if (empty($String)) {
return $ErrorReturn;
}
return $String;
}
上面的函数很简单只是通过正则过滤一些关键字,和字符。