Question

高分求php表单过滤代码。

各位大大们帮帮忙，小白惧怕表单提交的代码中含有恶意代码，用php自带函数只是简单过滤一些单双引号，但像select、insert、update、delete、union、into、load_file、outfile、% 、_ 、这些代码，使用自带函数过滤不掉。本人想通过将表单传递的内容封装到一个数组，如果碰到以上代码，则在前面加上一个反斜杠（这样考虑是出库的时候，还可以用自带函数删掉），但本人水平有限写不出这样的代码。望各位大大帮帮忙~~
表单就用$_POST['b1']、$_POST['b2']、$_POST['b3']......代替吧~~~谢谢了~~~在线等~~~

Answer 1

要防止sql注入，过滤表单输入固然重要，但还需要从其他方面一起入手

屏蔽用户输入特殊字符的实质是，禁止用户利用程序漏洞拼装出一些我们不想让用户执行的SQL

例如：

$sql = "SELECT * FROM table WHERE user='$_POST['user']' AND password='$_POST['pwd']'";

用户输入

$_POST['user'] = 'john';
$_POST['pwd'] = "' OR ''='";

要么实际执行的sql就是

SELECT * FROM table WHERE user='john' AND password='' OR ''=''

所以我们要对用户的输入做出处理，避免这种情况的发生

对于表单输入，必要的过滤是需要的，对于每一个输入可以写一个function来筛一下

例如：

$user_name = clean($_POST['user']);
function clean($v){
    if (get_magic_quotes_gpc()){
        $v = stripslashes($v);
    }
    //转义字符串中的特殊字符
    $v = mysql_real_escape_string($v);
    return $v;
}

至于内容中包含一些sql的关键字，其实不用太过紧张，但是在sql语句中必须处理

例如：

INSERT INTO table VALUES ('xxx', 'xxx', 'xxx')

要保证每个值都被单引号包起来

SELECT，UPDATE，DELETE中的WHERE条件也是如此，但凡以用户输入的部分作为参数的，都得用单引号括起来，这样就能有效防止sql注入

追问

我用这样的方法，直接将特殊字符斩杀~~~不知道这样做法妥不妥~~~

追答

可以的

但是例如别人只是输入一句"I come from China"的话，经过这个函数就变成"I come China"了

我们一般在做的时候都不会轻易地暴力剔除

至于具体要怎么做就看你的程序的需求了，如果你确定用户不会输入英文，你这么做就是可行的，否则就需要考虑解决方案

追问

用这么暴力的也是想到只允许用户输入中文的，因为网站的业务逻辑，英文字符很多不用考虑。码了那么多字，辛苦了~~~

Answer 2

使用 addslashes函数即可

追问

addslashes默认的好像只过滤掉单双引号和反斜杠，我查了一下手册，上面说在预定的字符前添加反斜杠，但不清楚怎么设置预定义字符，兄台可有办法？？？

追答

可能是你理解错了
所谓预定义字符的意思就是你将要过滤的字符，比如我有个 or name='xiii' 需要过滤，那么这个 or name='xiii' 就是预定义字符，转换后的字符是 or name=\'xiii\' ，这样就可以防止注入了，如果还不放心可以使用mysql_escape_string 函数