反sql注入功能

I am using this function to prevent sql injections :

function filter($input)
{
  if(strpos(str_replace("''","","$input"),"'") != false)
  {
    return str_replace("'", "''", $input);
  }
  return $input;
}

is it safe to use it? can someone somehow bypass it? if is is possible to bypass it please give me a hint on how to secure this function or an example on how you see bypass for it

UPDATE : it is used on SQL Server

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongzhi9192 2013-04-07 10:43
关注
is it safe to use it?

NO

can someone somehow bypass it?

YES

It shouldn't be input filter by any means. But data formatter for the SQL query.

At the very least it have to be

function SQLstrFormat($str) { return "'".str_replace("'", "''", $str)."'"; }

this way it would be safe, when applicable.
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

php变量及sql注入问题 php
2022-11-17 15:15

回答 2 已采纳我建议你看看我的第一篇博客
SQL注入不起作用 mysql php sql
2015-01-06 12:53

回答 1 已采纳 Quote from the manual: mysql_query() sends a unique query (multiple queries are not supported)
如何在Yii 1.1中保护原始sql CDbCriteria条件（反sql注入）？ php sql
2018-04-26 09:38

回答 1 已采纳 You should use params to pass untrusted data to query. Note that %, _ and \ chars has special mean
使用PHP实现防止sql注入功能
2023-05-31 13:33

使用PHP实现防止sql注入功能一、开发环境 1、环境搭建：Windows 7+Apache 2.4.18+MySQL 5.7.11+PHP 7.1.0。 2、文本编辑器：Sublime 3。二、主要技术本案例主要在PHP中分别使用PDO的quote()方法和prepare()...
如果PHP前后端分离还会有sql注入攻击这些吗 apache composer mvc php
2019-06-18 10:24

回答 4 已采纳 ``` sql注入攻击和前后端分离没有关系，它主要是指，你的代码中有直接拼接sql的代码，而没有加以处理，比如 $sql = "select * from table where titl
在PHP表单中防止SQL注入[关闭] php sql
2015-11-08 04:44

回答 1 已采纳 TL;DR; Use prepared statements and read How can I prevent SQL injection in PHP? carefully While
在laravel上保护SQL注入 laravel php sql
2016-02-09 18:19

回答 1 已采纳 As mentioned, LIKE is case insensitive, so you don't need lower or raw. Group::where('name', 'LIK
防SQL注入的php代码
2018-08-24 04:12

防SQL注入的php,通用防注入类
SQL注入语句[重复] mysql php sql
2015-08-07 23:06

回答 2 已采纳 Yes , it is , what if user enters the following line as name ? ','',''); ANY_SQL_QUERY_HERE --
PHP 5.4 SQL注入 mysql php
2014-04-22 08:22

回答 1 已采纳 How can I trick the script into thinking this SQL is valid? You can’t trick it into thinking
PHP和PostgreSQL：避免跨站点脚本和SQL注入攻击 php postgresql sql
2016-09-27 18:07

回答 1 已采纳 To avoid SQL injection, you want to call methods that accepts SQL parameters as method parameters.
sql注入详解
2023-05-05 11:46

~Echo的博客 SQL注入（SQL Injection）是一种常见的Web安全漏洞，主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。...
在codeigniter中向SQL注入一个SQL mysql php sql
2018-10-30 18:44

回答 3 已采纳 I think you can try to use '%M' instead of "%M", because it will split the string by ". $sql = "S
PHP+Mysql 带SQL注入源码下载
2017-01-01 17:41

PHP+Mysql 带SQL注入源码、下载解压部署到环境中去就行了。
php防止sql注入的方法
2022-02-24 20:01

zhoupenghui168的博客一、什么是SQL注入式攻击? 所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造(或者影响)动态SQL命令...
没有解决我的问题, 去提问

悬赏问题

¥15 wegame打不开英雄联盟
¥15 公司的电脑，win10系统自带远程协助，访问家里个人电脑，提示出现内部错误，各种常规的设置都已经尝试，感觉公司对此功能进行了限制（我们是集团公司）
¥15 救！ENVI5.6深度学习初始化模型报错怎么办？
¥30 eclipse开启服务后，网页无法打开
¥30 雷达辐射源信号参考模型
¥15 html+css+js如何实现这样子的效果？
¥15 STM32单片机自主设计
¥15 如何在node.js中或者java中给wav格式的音频编码成sil格式呢
¥15 不小心不正规的开发公司导致不给我们y码，
¥15 我的代码无法在vc++中运行呀，错误很多

反sql注入功能

3条回答 默认 最新

NO

YES

悬赏问题

3条回答默认最新