PHP过滤表单提交特殊字符(防注入)_PHP教程
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了PHP过滤表单提交特殊字符(防注入)_PHP教程,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含4595字,纯文字阅读大概需要7分钟。
内容图文
本文章来给大家总结一下在php中常用的一些防php注入,sql注入的一些方法介绍,在php中提供了htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string等几个函数,有需要了解的朋友可参考。下面针对常用表单特殊字符处理进行总结:
测试字符串:
代码如下 | |
$dbstr='D:test
|
测试代码:
代码如下 | |
header("Content-Type: text/html; charset=UTF-8"); $str = preg_replace("/s(?=s)/","\1",$str);//多个连续空格只保留一个 $str=stripslashes($str); |
字符串包含:反斜杠路径,单双引号,HTML标记、链接、未封堵的HTML标记,数据库语法容错,JS执行判断,PHP执行判断,多个连续回车换行符和空格。其中有些概念有包含关系
二、表单提交数据处理
1、强制加入反斜线
由于有些主机默认开启魔术引用get_magic_quotes_gpc,有些可能关闭,所以在程序上最好一律强制加入反斜线,这样可以统一处理,字符涉及单引号、双引号和反斜线。
代码如下 | |
function fnAddSlashes($data) |
2、对特殊字符处理
以下是几个常用字符串处理,可以视具体情况取舍。由于上面已经对提交表单数据进行一次转义,所以如果需要对内容替换或过滤需要考虑addslashes对相关字符的影响,替换或查找时需考虑反斜杠的添加。其它字符替换不影响,比如rn替换。
A、多个连续空格只保留一个
代码如下 | |
$data = preg_replace("/s(?=s)/","\1",$data );//多个连续空格只保留一个 |
B、回车换行替换成
代码如下 | |
$data = str_replace("r"," ",$data ); $data = str_replace("n"," ",$data ); |
//html中默认
没封堵,xhtml中
有封堵,建议使用
,更多区别:
C、多个连续
只保留一个
代码如下 | |
$data = preg_replace("/((<br/?>)+)/i", " ", $data );//多个连续 标签只保留一个 |
D、全部过滤HTML标记
该方式是全部过滤潜在危险的标记,包括HTML、链接、未封堵HTML标记、JS、PHP。
使用函数strip_tags($data)
该函数使用后会过滤全部的HTML标记(包括链接)和PHP标记、JS代码等,其中链接会保留链接原文只是去除标记和href部分内容,PHP标记和JS标记则会整体去除,包括中间的内容,如下图:
E、不过滤标记,只是把他们HTML化
该方法是把原提交内容全部按照普通文本来处理。
使用函数htmlspecialchars($data),该函数执行后会把提交数据全部按照普通文本来展示,如下图:
使用htmlentities函数执行结果(中文显示乱码):
三、写入数据库
由于使用addslashes($data)后对于高级的可信任用户可以直接写入数据库,但是addslashes无法拦截使用0xbf27代替的单引号,所以最好还是使用mysql_real_escape_string或mysql_escape_string进行转义,不过转义之前需先去除反斜杠(假设已默认开启addslashes)。
代码如下 | |
function fnEscapeStr($data) { if (get_magic_quotes_gpc()) $data=fnEscapeStr($data); |
PHP通用防注入安全代码
代码如下 | |
说明: 判断传递的变量中是否含有非法字符 如$_POST、$_GET 功能: 防注入 **************************/ //要过滤的非法字符 $ArrFiltrate=array(”‘”,”;”,”union”); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=”"; //是否存在数组中的值 function FunStringExist($StrFiltrate,$ArrFiltrate){ foreach ($ArrFiltrate as $key=>$value){ if (eregi($value,$StrFiltrate)){ return true; } } return false; } //合并$_POST 和 $_GET if(function_exists(array_merge)){ $ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS); }else{ foreach($HTTP_POST_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } foreach($HTTP_GET_VARS as $key=>$value){ $ArrPostAndGet[]=$value; } } //验证开始 foreach($ArrPostAndGet as $key=>$value){ if (FunStringExist($value,$ArrFiltrate)){ echo “alert(/”Neeao提示,非法字符/”);”; if (empty($StrGoUrl)){ echo “history.go(-1);”; }else{ echo “window.location=/”".$StrGoUrl.”/”;”; } exit; } } ?> |
/*************************
保存为checkpostandget.php
然后在每个php文件前加include(“checkpostandget.php“);即可
http://www.bkjia.com/PHPjc/629625.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629625.htmlTechArticle本文章来给大家总结一下在php中常用的一些防php注入,sql注入的一些方法介绍,在php中提供了htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_re...
内容总结
以上是互联网集市为您收集整理的PHP过滤表单提交特殊字符(防注入)_PHP教程全部内容,希望文章能够帮你解决PHP过滤表单提交特殊字符(防注入)_PHP教程所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。