SQLインジェクションしようとしたアクセスを弾く - Qiita(プログラム側で入力値チェックやエスケープしているものとする) QUERY_STRINGに不正な文字が来たらサーバーのリソースを使わせるのはもったいないため 即座に終了させる。(毎分延々とアクセス来たりするため) 海外のサーバー50台からアクセス来てた。 // (, by ,' が来たらdie() if(preg_match('/(\(|%28|%20[Bb][Yy]%20|\'|%27)/',$_SERVER['QUERY_STRING'])){ header("HTTP/1.0 404 Access denied."); die("your access has been blocked."); } ?hoge=fuga' ?hoge=fuga' AND BENCHMARK(2999999,MD5(NOW())) GrOup BY 20& ?hoge=fuga' And sLEEp(3
