Benutzerdefinierte PHP-Funktion für Login-Seite zu sichern Datenbank

Question

Ich habe diese Funktion für die Anmeldungseingänge geschrieben es sicher zu machen:

function secureLogin($ary = array()){ 
     try{ 
      $securedArray = array(); 
      foreach($ary as $val){ 
      $val = str_replace("'","",$val); 
      //$val = str_replace("%","",$val); 
      $val = str_replace("drop ","",strtolower($val)); 
      $val = str_replace("show ","",strtolower($val)); 
      $val = str_replace("insert ","",strtolower($val)); 
      $val = str_replace("create ","",strtolower($val)); 
      $val = str_replace("update ","",strtolower($val)); 
      $val = str_replace("select ","",strtolower($val)); 
      $val = str_replace("or ","",strtolower($val)); 
      $val = str_replace('"',"",$val); 
      $val = str_replace(";","",$val); 
      $securedArray[] = strip_tags($val); 
      } 
     }catch(Exception $exc){ 
       return $exc->getMessage(); 
       } 
      return $securedArray; 
     } 

Ich habe es mit einigen Werkzeugen wie sqlmap, Havij getestet und Acunetix Tools, die zeigt, gute Ergebnisse, aber ich möchte einige Experten Vorschläge, um meine Login-Seite/Eingaben von Login-Seite so viel wie sicher es sollte sein.

Answer 1

Ich verstehe nicht, was Sie versuchen, in Ihrem Code zu fangen, all diese str_replace wird keine PDOException auslösen.

Wenn Sie korrekt vorbereitete Anweisungen verwenden, müssen Sie kein Wort ersetzen. Auch wenn Sie nur wichtige Wörter löschen, werden diese Ihre Anmeldung nicht sicher machen, sondern nur für einen Angreifer, der sie ausnutzen kann.