亚洲精品中文字幕无乱码_久久亚洲精品无码AV大片_最新国产免费Av网址_国产精品3级片

php語言

PHP數(shù)據(jù)過濾函數(shù)

時間:2024-09-05 19:12:20 php語言 我要投稿
  • 相關(guān)推薦

PHP數(shù)據(jù)過濾函數(shù)

  堅強并不只是在大是大非中不屈服,而也是在挫折前不改變自己。以下是小編為大家搜索整理的PHP數(shù)據(jù)過濾函數(shù),希望能給大家?guī)韼椭?更多精彩內(nèi)容請及時關(guān)注我們應屆畢業(yè)生考試網(wǎng)!

  1、php提交數(shù)據(jù)過濾的基本原則

  1)提交變量進數(shù)據(jù)庫時,我們必須使用addslashes()進行過濾,像我們的注入問題,一個addslashes()也就搞定了。其實在涉及到變量取值時,intval()函數(shù)對字符串的過濾也是個不錯的選擇。

  2)在php.ini中開啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引號變?yōu)樾备。magic_quotes_runtime對于進出數(shù)據(jù)庫的數(shù)據(jù)可以起到格式話的作用。其實,早在以前注入很瘋狂時,這個參數(shù)就很流行了。

  3)在使用系統(tǒng)函數(shù)時,必須使用escapeshellarg(),escapeshellcmd()參數(shù)去過濾,這樣你也就可以放心的使用系統(tǒng)函數(shù)。

  4)對于跨站,strip_tags(),htmlspecialchars()兩個參數(shù)都不錯,對于用戶提交的的帶有html和php的標記都將進行轉(zhuǎn)換。比如尖括號"<"就將轉(zhuǎn)化為 "<"這樣無害的字符。

 代碼如下  
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
strip_tags($text,);

  5)對于相關(guān)函數(shù)的過濾,就像先前的include(),unlink,fopen()等等,只要你把你所要執(zhí)行操作的變量指定好或者對相關(guān)字符過濾嚴密,我想這樣也就無懈可擊了。

  2、PHP簡單的數(shù)據(jù)過濾

  1)入庫: trim($str),addslashes($str)

  2)出庫: stripslashes($str)

  3)顯示: htmlspecialchars(nl2br($str))

  看下面的例子以便進一步討論dispatch.php腳本:

 代碼如下  

<?php

/* 全局安全處理 */

switch ($_GET['task'])
{
case 'print_form':
include '/inc/presentation/form.inc';
break;

case 'process_form':
$form_valid = false;
include '/inc/logic/process.inc';
if ($form_valid)
{
include '/inc/presentation/end.inc';
}
else
{
include '/inc/presentation/form.inc';
}
break;

default:
include '/inc/presentation/index.inc';
break;
}

?>

  如果這是唯一的可公開訪問到的 PHP 腳本,則可以確信的一點是這個程序的設(shè)計可以確保在最開始的全局安全處理無法被繞過。同時也讓開發(fā)者容易看到特定任務的控制流程。例如,不需要瀏覽整個代碼就可以容易的知道:當$form_valid為true時,end.inc是唯一顯示給用戶的;由于它在process.inc被包含之前,并剛剛初始化為false,可以確定的是process.inc的內(nèi)部邏輯會將設(shè)置它為true;否則表單將再次顯示(可能會顯示相關(guān)的錯誤信息)。

  注意

  如果你使用目錄定向文件,如index.php(代替dispatch.php),你可以像這樣使用 URL 地址:http://example.org/?task=print_form。

  你還可以使用 ApacheForceType重定向或者mod_rewrite來調(diào)整 URL 地址:http://example.org/app/print-form。

  包含方法

  另外一種方式是使用單獨一個模塊,這個模塊負責所有的安全處理。這個模塊被包含在所有公開的 PHP 腳本的最前端(或者非?壳暗牟糠)。參考下面的腳本security.inc

 代碼如下  

<?php

switch ($_POST['form'])
{
case 'login':
$allowed = array();
$allowed[] = 'form';
$allowed[] = 'username';
$allowed[] = 'password';

$sent = array_keys($_POST);

if ($allowed == $sent)
{
include '/inc/logic/process.inc';
}

break;
}

?>

  在本例中,每個提交過來的表單都認為應當含有form這個唯一驗證值,并且security.inc獨立處理表單中0需要過濾的數(shù)據(jù)。實現(xiàn)這個要求的 HTML 表單如下所示:

 代碼如下  
<form action="/receive.php" method="POST">
<input type="hidden" name="form" value="login" />
<p>Username:
<input type="text" name="username" /></p>
<p>Password:
<input type="password" name="password" /></p>
<input type="submit" />
</form>

  叫做$allowed的數(shù)組用來檢驗哪個表單變量是允許的, 這個列表在表單被處理前應當是一致的。流程控制決定要執(zhí)行什么,而process.inc是真正過濾后的數(shù)據(jù)到達的地方。

  注意

  確保security.inc總是被包含在每個腳本的最開始的位置比較好的方法是使用auto_prepend_file設(shè)置。

  過濾的例子

  建立白名單對于數(shù)據(jù)過濾是非常重要的。由于不可能對每一種可能遇到的表單數(shù)據(jù)都給出例子,部分例子可以幫助你對此有一個大體的了解。

  下面的代碼對郵件地址進行了驗證:

 代碼如下  

<?php

$clean = array();

$email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';

if (preg_match($email_pattern, $_POST['email']))
{
$clean['email'] = $_POST['email'];
}

?>

  下面的代碼確保了$_POST['color']的內(nèi)容是red,green,或者blue:

 代碼如下  

<?php

$clean = array();

switch ($_POST['color'])
{
case 'red':
case 'green':
case 'blue':
$clean['color'] = $_POST['color'];
break;
}

?>

  下面的代碼確保$_POST['num']是一個整數(shù)(integer):

 代碼如下  

<?php

$clean = array();

if ($_POST['num'] == strval(intval($_POST['num'])))
{
$clean['num'] = $_POST['num'];
}

?>

  下面的代碼確保$_POST['num']是一個浮點數(shù)(float):

 代碼如下  

<?php

$clean = array();

if ($_POST['num'] == strval(floatval($_POST['num'])))
{
$clean['num'] = $_POST['num'];
}

?>

  名字轉(zhuǎn)換

  之前每個例子都使用了數(shù)組$clean。對于開發(fā)人員判斷數(shù)據(jù)是否有潛在的威脅這是一個很好的習慣。 永遠不要在對數(shù)據(jù)驗證后還將其保存在$_POST或者$_GET中,作為開發(fā)人員對超級全局數(shù)組中保存的數(shù)據(jù)總是應當保持充分的懷疑。

  需要補充的是,使用$clean可以幫助思考還有什么沒有被過濾,這更類似一個白名單的作用?梢蕴嵘踩牡燃。

  如果僅僅將驗證過的數(shù)據(jù)保存在$clean,在數(shù)據(jù)驗證上僅存的風險是你所引用的數(shù)組元素不存在,而不是未過濾的危險數(shù)據(jù)。

  時機

  一旦 PHP 腳本開始執(zhí)行,則意味著 HTTP 請求已經(jīng)全部結(jié)束。此時,用戶便沒有機會向腳本發(fā)送數(shù)據(jù)。因此,沒有數(shù)據(jù)可以被輸入到腳本中(甚至register_globals被開啟的情況下)。這就是為什么初始化變量是非常好的習慣。

  防注入

 代碼如下  

<?PHP 
//PHP整站防注入程序,需要在公共文件中require_once本文件 
//判斷magic_quotes_gpc狀態(tài) 
if (@get_magic_quotes_gpc ()) { 
$_GET = sec ( $_GET ); 
$_POST = sec ( $_POST ); 
$_COOKIE = sec ( $_COOKIE ); 
$_FILES = sec ( $_FILES ); 

$_SERVER = sec ( $_SERVER ); 
function sec(&$array) { 
//如果是數(shù)組,遍歷數(shù)組,遞歸調(diào)用 
if (is_array ( $array )) { 
foreach ( $array as $k => $v ) { 
$array [$k] = sec ( $v ); 

} else if (is_string ( $array )) { 
//使用addslashes函數(shù)來處理 
$array = addslashes ( $array ); 
} else if (is_numeric ( $array )) { 
$array = intval ( $array ); 

return $array; 

//整型過濾函數(shù) 
function num_check($id) { 
if (! $id) { 
die ( '參數(shù)不能為空!' ); 
} //是否為空的判斷 
else if (inject_check ( $id )) { 
die ( '非法參數(shù)' ); 
} //注入判斷 
else if (! is_numetic ( $id )) { 
die ( '非法參數(shù)' ); 

//數(shù)字判斷 
$id = intval ( $id ); 
//整型化 
return $id; 

//字符過濾函數(shù) 
function str_check($str) { 
if (inject_check ( $str )) { 
die ( '非法參數(shù)' ); 

//注入判斷 
$str = htmlspecialchars ( $str ); 
//轉(zhuǎn)換html 
return $str; 

function search_check($str) { 
$str = str_replace ( "_", "_", $str ); 
//把"_"過濾掉 
$str = str_replace ( "%", "%", $str ); 
//把"%"過濾掉 
$str = htmlspecialchars ( $str ); 
//轉(zhuǎn)換html 
return $str; 

//表單過濾函數(shù) 
function post_check($str, $min, $max) { 
if (isset ( $min ) && strlen ( $str ) < $min) { 
die ( '最少$min字節(jié)' ); 
} else if (isset ( $max ) && strlen ( $str ) > $max) { 
die ( '最多$max字節(jié)' ); 

return stripslashes_array ( $str ); 

//防注入函數(shù) 
function inject_check($sql_str) { 
return eregi ( 'select|inert|update|delete|'|/*|*|../|./|UNION|into|load_file|outfile', $sql_str ); 
// www.111cn.net 進行過濾,防注入 

function stripslashes_array(&$array) { 
if (is_array ( $array )) { 
foreach ( $array as $k => $v ) { 
$array [$k] = stripslashes_array ( $v ); 

} else if (is_string ( $array )) { 
$array = stripslashes ( $array ); 

return $array; 

?>

【PHP數(shù)據(jù)過濾函數(shù)】相關(guān)文章:

PHP函數(shù)知識總結(jié)09-29

PHP數(shù)組函數(shù)知識10-24

PHP函數(shù)的區(qū)別及用法10-27

PHP類與構(gòu)造函數(shù)07-01

簡單PHP數(shù)組函數(shù)介紹09-26

php摘要生成函數(shù)詳解09-02

PHP常用的文件操作函數(shù)10-17

PHP網(wǎng)絡操作函數(shù)講解07-23

2017PHP5函數(shù)大全10-24

php的字符串常用函數(shù)06-15