PHP编程：提防SQL注入进击的代码

让好朋友来看看，嘿，看咱写的多棒，然后再在网上宣传一下。进击   　SQL注入式进击是使用是指使用设计上的破绽，在方针办事器上运转Sql号令和停止其他体例的进击，静态生成Sql号令时没有对用户输出的数据停止验证是Sql注入进击未遂的次要缘由。好比：

　　假如你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'"

　　那末，假如我的用户名是：1' or '1'='1

　　那末，你的查询语句将会酿成：

select * from admin where username='1 or '1'='1' and password='"&pwd&"'"
　　如许你的查询语句就经由过程了，从而就能够进入你的办理界面。

　　所以提防的时分需求对用户的输出停止反省。出格式一些特别字符，好比单引号，双引号，分号，逗号，冒号，毗连号等停止转换或过滤。

　　需求过滤的特别字符及字符串有：

net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
'
:
"
insert
delete from
drop table
update
truncate
from
%
　　上面是我写的两种关于处理注入式进击的提防代码，供人人进修参考！

　　js版的提防SQL注入式进击代码～：

[CODE START]　　
<script language="javascript">
<!--
var url = location.search;
var re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table
　　|update%20truncate%20|asc\(|mid\(|char\(|xp_cmdshell|exec%20master
　　|net%20localgroup%20administrators|\"|:|net%20user|\'|%20or%20)(.*)$/gi;
var e = re.test(url);
if(e) {
alert("地址中含有不法字符～");
location.href="error.asp";
}
//-->
<script>
[CODE END]
　　asp版的提防SQL注入式进击代码～：

[CODE START]
＜%
On Error Resume Next
Dim strTemp

If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")

strTemp = strTemp & Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)

strTemp = LCase(strTemp)

If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"'") or Instr(strTemp,"%20or%20") then
Response.Write "＜script language='javascript'＞"
Response.Write "alert('不法地址！！');"
Response.Write "location.href='error.asp';"
Response.Write "＜script＞"
End If
%＞
[CODE END]
　　C# 反省字符串,防SQL注入进击

　　这个例子里暂定为=号和'号

bool CheckParams(params object[] args)
{
　string[] Lawlesses={"=","'"};
　if(Lawlesses==null||Lawlesses.Length<=0)return true;
　//机关正则表达式,例:Lawlesses是=号和'号,则正则表达式为 .*[=}'].* (正则表达式相干内容请见MSDN)
　//别的,因为我是想做通用并且轻易修正的函数,所以多了一步由字符数组到正则表达式,实践利用中,直接写正则表达式亦可;

　String str_Regex=".*[";
　for(int i=0;i< Lawlesses.Length-1;i++)
　　str_Regex+=Lawlesses[i]+"|";
　　str_Regex+=Lawlesses[Lawlesses.Length-1]+"].*";
　　//
　　foreach(object arg in args)
　　{
　　　if(arg is string)//假如是字符串,直接反省
　　　{
　　　　if(Regex.Matches(arg.ToString(),str_Regex).Count>0)
　　　　return false;
　　　}
　　　else if(arg is ICollection)
　　　　//假如是一个纠合,则反省纠合内元素是不是字符串,是字符串,就停止反省
　　　{
　　　　foreach(object obj in (ICollection)arg)
　　　　{
　　　　　if(obj is string)
　　　　　{
　　　　　　if(Regex.Matches(obj.ToString(),str_Regex).Count>0)
　　　　　　　return false;
　　　　　}
　　　　}
　　　}
　　}
　　return true;
  毕业设计作品自己个人还是觉得比较满意的，尽管有些功能考虑的不全面，也没有很好的实现。

小鸟是第一次发帖（我习惯潜水的(*^__^*) 嘻嘻……），有错误之处还请大家批评指正，另外，前些日子听人说有高手能用php写驱动程序，真是学无止境，人外有人，天外有天。

使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。

在我安装pear包的时候老是提示，缺少某某文件，才发现 那群extension 的排列是应该有一点的顺序，而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去，只留下我需要使用的扩展。

多看优秀程序员编写的代码，仔细理解他们解决问题的方法，对自身有很大的帮助。

对于懒惰的朋友，我推荐php的集成环境xampp或者是wamp。这两个软件安装方便，使用简单。但是我还是强烈建议自己动手搭建开发环境。

我学习了一段时间后，我发现效果并不好（估计是我自身的问题）。因为一个人的精力总是有限的，同时学习这么多，会导致每个的学习时间都得不到保证。

在学习的过程中不能怕麻烦，不能有懒惰的思想。学习php首先应该搭建一个lamp环境或者是wamp环境。这是学习php开发的根本。虽然网络上有很多集成的环境，安装很方便，使用起来也很稳定、

因为blog这样的可以让你接触更多要学的知识，可以接触用到类，模板，js ，ajax

多看优秀程序员编写的代码，仔细理解他们解决问题的方法，对自身有很大的帮助。

对于初学者来说不推荐去拿钱买的。当然如果一个网站你经常去用，而且里面的资料也比较有用，最好还是买个会员比较好，毕竟那些也是别人的工作成果。

曾经犯过一个很低级的错误，我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号，结果找了好几个小时的错误，事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的，应该用的是下划线  \\\\\\\'_\\\\\\\' ;

个人呢觉得，配wamp 最容易漏的一步就是忘了把$PHP$目录下的libmysql.dll拷贝到windows系统目录的system32目录下，还有重启apache。

装在C盘下面可以利用windows的ghost功能可以还原回来（顺便当做是重转啦），当然啦我的编译目录要放在别的盘下，不然自己的劳动成果就悲剧啦。

你很难利用原理去编写自己的代码。对于php来说，系统的学习我认为还是很重要的，当你有一定理解后，你可你针对某种效果研究，我想那时你不会只是复制代码的水平了。

先学习php和mysql,还有css(html语言很简单)我认为现在的效果比以前的方法好。

做为1门年轻的语言，php一直很努力。

当留言板完成的时候，下步可以把做1个单人的blog程序，做为目标，

基础有没有对学习php没有太大区别，关键是兴趣。

最后介绍一个代码出错，但是老找不到错误方法，就是 go to wc （囧），出去换换气没准回来就找到错误啦。