sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序，而这些输入大都是sql语法里的一些组合，通过执行sql语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。
根据相关技术原理，sql注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，sql注入的产生原因通常表现在以下几方面：①不当的类型处理；②不安全的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不合适；⑥多个提交处理不当。
本篇文章主要介绍一个通用的防注入代码，代码如下:
function jk1986_checksql() { $bad_str = "and|select|update|'|delete|insert|*"; $bad_array = explode("|",$bad_str); /** 过滤get参数 **/ foreach ($bad_array as $bad_a) { foreach ($_get as $g) { if (substr_count(strtolower($g),$bad_a) > 0) { echo "<script>alert('诡异字符,请不要尝试注入本站! 作者:jk1986 qq:414028660');location.href='index.php';</script>"; exit(); } } } /** 过滤post参数 **/ foreach ($bad_array as $bad_a) { foreach ($_post as $p) { if (substr_count(strtolower($p),$bad_a) > 0) { echo "<script>alert('诡异字符,请不要尝试注入本站! 作者:jk1986 qq:414028660');location.href='index.php';</script>"; exit(); } } } /** 过滤cookies参数 **/ foreach ($bad_array as $bad_a) { foreach ($_cookie as $co) { if (substr_count(strtolower($co),$bad_a) > 0) { echo "<script>alert('诡异字符,请不要尝试注入本站! 作者:jk1986 qq:414028660');location.href='index.php';</script>"; exit(); } } } }
以上就是php sql防注入程序代码的详细内容。