PHP防注入安全代码

简述：/*****
说明：
判断传递的变量中是否含有非法字符
如$_POST、$_GET
功能：防注入
**/<div class="codetitle"><a style="CURSOR: pointer" data="58897" class="copybut" id="copybut58897" onclick="doCopy('code58897')"> 代码如下:<div class="codebody" id="code58897">
<?php //要过滤的非法字符
$ArrFiltrate=array("'",";","union");
//出错后要跳转的url,不填则默认前一页
$StrGoUrl="";
//是否存在数组中的值
functionFunStringExist($StrFiltrate,$ArrFiltrate){
foreach($ArrFiltrateas$key=>$value){
if(eregi($value,$StrFiltrate)){
returntrue;
}
}
returnfalse;
} //合并$_POST和$_GET
if(function_exists(array_merge)){
$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);
}else{
foreach($HTTP_POST_VARSas$key=>$value){
$ArrPostAndGet[]=$value;
}
foreach($HTTP_GET_VARSas$key=>$value){
$ArrPostAndGet[]=$value;
}
} //验证开始
foreach($ArrPostAndGetas$key=>$value){
if(FunStringExist($value,$ArrFiltrate)){
echo"<scriptlanguage="javascript">alert("非法字符");";
if(emptyempty($StrGoUrl)){
echo"<scriptlanguage="javascript">history.go(-1);";
}else{
echo"<scriptlanguage="javascript">window.location="".$StrGoUrl."";";
}
exit;
}
}
?>
保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可

方法2