防sql注入

方法一：

　　将？后接收的数据进行强制转换为要求的数据格式

方法二：

　　检测上级请求来源，检测来源的文件地址是否与要求相符，手动在地址栏填写的地址参数是没有上级来源的

$source=$_SERVER['HTTP_REFERER'];
$source=basename($source);//仅保留文件部分
//过滤?后的正常传参值，仅截取?前的文件部分
if (strpos($source,"?")){
    $source=substr($source,0,strpos($source, "?"));
}else{
    $source=basename($source);
}
if ($source!='上级文件名' || empty($source)){
    echo "<script>alert('非法请求！')</script>";
    echo "<script>window.location.href='跳转地址'</script>";
    exit;
}

posted @ 2018-06-12 10:17 Autumn_n 阅读(145) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

Autumn の Box

防sql注入

公告