PHP防注入安全代码

怕网站被注入的朋友们看过来了，今天分享个代码。
1.将safe.func.php传到要包含的文件的目录

2.在页面中加入防护，有两种做法，根据情况二选一即可：

a).在所需要防护的页面加入代码
require_once('safe.func.php');
就可以做到页面防注入、跨站
如果想整站防注，就在网站的一个公用文件中，如数据库链接文件config.inc.php中！
添加require_once('safe.func.php');来调用本代码

常用php系统添加文件
PHPCMS V9 phpcmsase.php
PHPWIND8.7 datasql_config.php
DEDECMS5.7 datacommon.inc.php
DiscuzX2 configconfig_global.php
Wordpress wp-config.php
Metinfo includehead.php

b).在每个文件最前加上代码
在php.ini中找到:
Automatically add files before or after any PHP document.

auto_prepend_file = safe.func.php路径;
safe.func.php 代码如下：

<?php
/**
* 防注入 2012年12月21日 14:04:33 http://yige.org/php/
*
* "<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
*/

function safe_custom_error($errno, $errstr, $errfile, $errline) {
echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
die();
}

set_error_handler("safe_custom_error", E_ERROR);

function safe_stop_attack($k, $v, $method=0) {
$filter = array(
"'|(and|or).+?(>|<|=|in|like)|/*.+?*/|<s*script|EXEC|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)",//get
"(and|or).{1,6}?(=|>|<|in|like)|/*.+?*/|<s*script|EXEC|UNION.+?SELECT|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TABLE|DATABASE)"//post, cookie
);

$filter = isset($filter[$method]) ? $filter[$method] : $filter[0];

if(is_array($v)) {
$v = implode($v);
}
if (preg_match("/" . $filter . "/is", $v) == 1) {
exit("本次操作已记录。请不要继续非法操作。");
}
}

if (isset($_GET)) {
foreach($_GET as $k => $v) safe_stop_attack($k, $v, 0);
}
if (isset($_POST)) {
foreach($_POST as $k => $v) safe_stop_attack($k, $v, 1);
}
if (isset($_COOKIE)) {
foreach($_COOKIE as $k => $v) safe_stop_attack($k, $v, 1);
}

本文转载自#一个网# http://yige.org