编程 PHP

php 参数过滤、数据过滤详解

Posted in PHP onOctober 26, 2015

下面通过一段代码给大家介绍php参数过滤

class mysafe{
 public $logname;
 public $isshwomsg;
 function __construct(){ 
  set_error_handler('MyError',E_ALL); 
  //-----
 }
 function MyError($errno, $errstr, $errfile, $errline){  
  echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
  exit;
 }
 function wlog($logs){
  if(empty($logname)){
   $this->logname=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
  }  
  $Ts=fopen($this->logname,"a+");
  fputs($Ts,$logs."\r\n");
  fclose($Ts);
 }
 function showmsg($msg='',$flag=false){
  $this->isshwomsg=empty($this->isshwomsg) ? false : true;
  if ($this->isshwomsg) {
   echo '<br />--------------------------------------<br />';
   echo $msg;
   echo '<br />--------------------------------------<br />';
   if ($flag) exit;
  } 
 }
 function get_filter(){
  $getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  foreach($_GET as $key=>$value){
   $this->StopAttack($key,$value,$getfilter);
  }
 }
 function post_filter(){
  $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  foreach($_POST as $key=>$value){
   $this->StopAttack($key,$value,$postfilter);
  }
 }
 function cookie_filter(){
  $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  foreach($_COOKIE as $key=>$value){
   $this->StopAttack($key,$value,$cookiefilter);
  }
 }
 //过滤参数 
 function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){
  if(is_array($StrFiltValue)){
   $StrFiltValue=implode($StrFiltValue);
  } 
  if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){
   $msg="<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue; 
   $this->wlog($msg);   
   $this->showmsg($msg);   
   exit();
  }  
 }
 function filter_value_for_sql($str){
  $str = str_replace("and","",$str);
  $str = str_replace("execute","",$str);
  $str = str_replace("update","",$str);
  $str = str_replace("count","",$str);
  $str = str_replace("chr","",$str);
  $str = str_replace("mid","",$str);
  $str = str_replace("master","",$str);
  $str = str_replace("truncate","",$str);
  $str = str_replace("char","",$str);
  $str = str_replace("declare","",$str);
  $str = str_replace("select","",$str);
  $str = str_replace("create","",$str);
  $str = str_replace("delete","",$str);
  $str = str_replace("insert","",$str);
  $str = str_replace("'","",$str);
  $str = str_replace('"',"",$str);
  $str = str_replace(" ","",$str);
  $str = str_replace("or","",$str);
  $str = str_replace("=","",$str);
  $str = str_replace(" ","",$str); 
  return $str;
 }
 //class end
}

下面给大家介绍下PHP数据过滤

1、php提交数据过滤的基本原则

1）提交变量进数据库时，我们必须使用addslashes()进行过滤，像我们的注入问题，一个addslashes()也就搞定了。其实在涉及到变量取值时，intval()函数对字符串的过滤也是个不错的选择。
2）在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实，早在以前注入很疯狂时，这个参数就很流行了。
3）在使用系统函数时，必须使用escapeshellarg(),escapeshellcmd()参数去过滤，这样你也就可以放心的使用系统函数。
4）对于跨站，strip_tags(),htmlspecialchars()两个参数都不错，对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符。
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
strip_tags($text,);
5）对于相关函数的过滤，就像先前的include(),unlink,fopen()等等，只要你把你所要执行操作的变量指定好或者对相关字符过滤严密，我想这样也就无懈可击了。

2、PHP简单的数据过滤

1）入库: trim($str),addslashes($str)
2）出库: stripslashes($str)
3）显示: htmlspecialchars(nl2br($str))

php 参数过滤、数据过滤详解

- Author -

mrr

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

php完全过滤HTML,JS,CSS等标签

Jan 16 PHP

简单的php文件上传（实例）

Oct 27 PHP

免费手机号码归属地API查询接口和PHP使用实例分享

Apr 10 PHP

php生成随机字符串可指定纯数字、纯字母或者混合的

Apr 18 PHP

PHP管理依赖(dependency)关系工具 Composer 安装与使用

Aug 18 PHP

PHP中file_get_contents高?用法实例

Sep 24 PHP

CI框架安全类Security.php源码分析

Nov 04 PHP

是 WordPress 让 PHP 更流行了而不是框架

Feb 03 PHP

100行PHP代码实现socks5代理服务器

Apr 28 PHP

浅谈PHP中静态方法和非静态方法的相互调用

Oct 04 PHP

PHPCMS2008广告模板SQL注入漏洞修复

Oct 11 PHP

PHP实现将标点符号正则替换为空格的方法

Aug 09 PHP

php解析url并得到url中的参数及获取url参数的四种方式

Oct 26 #PHP

php实现CSV文件导入和导出

Oct 24 #PHP

PHP错误Warning:mysql_query()解决方法

Oct 24 #PHP

php实现表单多按钮提交action的处理方法

Oct 24 #PHP

一个简单至极的PHP缓存类代码

Oct 23 #PHP

10款实用的PHP开源工具

Oct 23 #PHP

PHP制作用户注册系统

Oct 23 #PHP

You might like

php开发过程中关于继承的使用方法分享

2011/06/17 PHP

php中随机显示图片的函数代码

2011/06/23 PHP

getimagesize获取图片尺寸实例

2014/11/15 PHP

php微信公众平台开发（一）配置接口

2016/12/06 PHP

在视频前插入广告

2006/11/20 Javascript

异步加载script的代码

2011/01/12 Javascript

JavaScript 一道字符串分解的题目

2011/08/03 Javascript

cookie 最近浏览记录(中文escape转码)具体实现

2013/06/08 Javascript

jQuery选择器全面总结

2014/01/06 Javascript

node.js中的http.get方法使用说明

2014/12/14 Javascript

jQuery插件Slider Revolution实现响应动画滑动图片切换效果

2015/06/05 Javascript

在JavaScript中处理时间之getHours()方法的使用

2015/06/10 Javascript

用jQuery旋转插件jqueryrotate制作转盘抽奖

2017/02/10 Javascript

基于Vuejs的搜索匹配功能实现方法

2018/03/03 Javascript

jQuery实现下拉菜单动态添加数据点击滑出收起其他功能

2018/06/14 jQuery

vue基于element-ui的三级CheckBox复选框功能的实现代码

2018/10/15 Javascript

extjs图表绘制之条形图实现方法分析

2020/03/06 Javascript

原生js实现瀑布流效果

2020/03/09 Javascript

Element Breadcrumb 面包屑的使用方法

2020/07/26 Javascript

解决vue cli4升级sass-loader(v8)后报错问题

2020/07/30 Javascript

js实现星星海特效的示例

2020/09/28 Javascript

javascript实现时钟动画

2020/12/03 Javascript

Python实现的FTP通信客户端与服务器端功能示例

2018/03/28 Python

python excel使用xlutils类库实现追加写功能的方法

2018/05/02 Python

Python中return self的用法详解

2018/07/27 Python

Python tkinter布局与按钮间距设置方式

2020/03/04 Python

花园仓库建筑：Garden Buildings Direct

2018/02/16 全球购物

Agoda台湾官网：国内外订房2折起

2018/03/20 全球购物

Funko官方商店：源自美国，畅销全球搪胶收藏玩偶

2018/09/15 全球购物

伦敦新晋轻奢耳饰潮牌：Tada & Toy

2020/05/25 全球购物

儿子婚宴答谢词

2014/01/09 职场文书

校庆活动方案

2014/03/31 职场文书

文案策划专业自荐信

2014/07/07 职场文书

家长会主持词开场白

2015/05/29 职场文书

标准演讲稿格式结尾应该怎么书写？

2019/07/17 职场文书

在python中实现导入一个需要传参的模块

2021/05/12 Python