PHP在使用正则表达式验证,防注入的时候要注意一下的细节
如下:这是一个防止用户输入的数据中包含SQL的一些关键字的正则表达式
之前一直认为这写的很正确,没多大的问题,而且自己测试也没问题,
因为关键字包含 And,而如果用户输入andy的时候呢,汗,所以还得结合
SQL的一些特点来对这个正则表达式进行修改
注:\s:在正则表达式中表示空格;正则表达式最后的小"i"表示不区分大小写
做出的修改是:select,insert,update,delete这几个关键字,使用的时候前面有可能有或没有空格,但后面必须有一个空格,
所以变成 [\s]*select\s
而and,or,union这些,因为必须前面一个空格,后面一个空格才能生效
所以改成 \sand\s
function inject_check($Sql_Str) {//检查Sql的注入语句,各种关键字。
//原来是这样的:/select|insert|update|delete|and|or|\'|\\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/i
//$check=preg_match('/[\s]*select\s|[\s]*insert\s|[\s]*update\s| [\s]*delete\s|\sand\s|\sor\s|\'|\\*|\*|\.\.\/|\.\/|\sunion\s|\sinto\s|load_file|outfile/i',$Sql_Str);
//不过这样太难看了,所以稍微修改一下,
$check=preg_match('/[\s]*(select|insert|update|delete)\s|\s(and|or|join|like|regexp|where|union|into)\s|\#|\'|\\*|\*|\.\.\/|\.\/|load_file|outfile/i',$Sql_Str);
if ($check) {
echo '<script language="JavaScript">alert("Warnning!!\r\n'.$Sql_Str.' is invalid.");</script>';
exit();
}else{
return $Sql_Str;
}
}