过滤输入框的特殊字符和 SQL 语句,这个函数性能怎么样?有什么利弊? [ 2.0 版本 ]

2019-11-27 10:45:06 1600次浏览 3条回答 0 悬赏 10 金钱 
public static function filterInput($str) {
    $str = str_replace('and','',$str);
    $str = str_replace('execute','',$str);
    $str = str_replace('update','',$str);
    $str = str_replace('count','',$str);
    $str = str_replace('chr','',$str);
    $str = str_replace('mid','',$str);
    $str = str_replace('master','',$str);
    $str = str_replace('truncate','',$str);
    $str = str_replace('char','',$str);
    $str = str_replace('declare','',$str);
    $str = str_replace('select','',$str);
    $str = str_replace('create','',$str);
    $str = str_replace('delete','',$str);
    $str = str_replace('insert','',$str);
    $str = str_replace('XOR','',$str);
    $str = str_replace('sysdate','',$str);
    $str = str_replace('sleep','',$str);
    $str = str_replace('now','',$str);
    $str = str_replace('-1"','',$str);
    $str = str_replace('from','',$str);
    $str = str_replace('=','',$str);
    $str = str_replace('waitfor','',$str);
    $str = str_replace('TscyoTn6','',$str);
    $str = str_replace(';','',$str);
    $str = str_replace('+','',$str);
    $str = str_replace('-','',$str);
    $str = str_replace('*','',$str);
    $str = str_replace('/','',$str);
    $str = str_replace('delay','',$str);
    $str = str_replace('if','',$str);
    $str = str_replace('then','',$str);
    $str = str_replace('(','',$str);
    $str = str_replace(')','',$str);
    $str = str_replace("'",'',$str);
    $str = str_replace('"','',$str);
    return $str;
}

最佳答案

  • 发布于 2019-11-27 18:36 举报

    先不说 性能怎么样,一句正常的英文中 很可能包含有 and 这种常见的单词的
    更像 if 这种,很多单词中都含有这两个字母,比如 different difficult 等
    你因为害怕 sql注入,而把用户 正常的输入 搞的 残缺不全的,算 怎么一回事

    , , , 觉得很赞
    回复 4 0

其他 2 个回答

默认排序

回答问题

您需要登录后才可以回答。登录 | 立即注册
PHP学院的中学生
副总裁

PHP学院的中学生

注册时间:2018-10-23
最后登录:2024-09-23
在线时长:168小时13分
  • 粉丝29
  • 金钱4725
  • 威望30
  • 积分6705
私信

热门问题