防止php注入问题

itlu

请教大家防止php注入，现在使用一个PHP文件里的函数自动过滤所有的提交数据,比如下面
if(isset($_POST)){
//执行过滤语句
}
还要再每个表单提交的PHP文件地方过滤吗？（想省点事），具体使用哪种方法好点，安全跟性能方面。
除了$_POST跟$_GET之外，$_COOKIES也需要过滤吗？

ponych

进数据库前检测一次。如果是mysql的话，用 mysql_real_escape过滤每个参数。

显示前检查一次。
这个各家有各家的法门。纯文本的话， html_xxxx  什么来着函数可以用。自己查手册去。

tbxuexi2

是的！！！！！！！！！！！！！

erleng

可以用$_REQUIST，全包括了，手册上讲：

$_REQUEST

$_REQUEST — HTTP Request 变量


说明

默认情况下包含了 $_GET，$_POST和 $_COOKIE 的数组。

itlu

谢谢各位朋友，三楼的朋友我把检测代码贴出来
function inject_check($sql)
{              
        return preg_match("/select|insert|update|delete|%27|\*|\/\*|\.\.\/|\.\/|union|into|1=1|load_file|outfile/i", $sql);// 进行过滤
}

if(inject_check($_SERVER["REQUEST_URI"]))
        {
                die('Invalid URL !');
        }

function magic()
{
        if(!get_magic_quotes_gpc()&&isset($_POST))
        {
                foreach($_POST as $key=>$v)
                {
                        if(!is_array($v))
                                $_POST[$key]=addslashes($v);
                }
                        }

magic();

四楼的朋友，如果用mysql_real_escape_string检测参数是不是要把关闭魔术引号，如果开启magic_quotes_gpc，再用mysql_real_escape_string转义不安全字符会不会转义二次。