网络编程
位置:首页>> 网络编程>> php编程>> php 参数过滤、数据过滤详解

php 参数过滤、数据过滤详解

作者:mrr  发布时间:2023-11-17 17:36:56 

标签:php,参数,数据,过滤

下面通过一段代码给大家介绍php参数过滤


class mysafe{
public $logname;
public $isshwomsg;
function __construct(){
 set_error_handler('MyError',E_ALL);
 //-----
}
function MyError($errno, $errstr, $errfile, $errline){  
 echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
 exit;
}
function wlog($logs){
 if(empty($logname)){
  $this->logname=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
 }  
 $Ts=fopen($this->logname,"a+");
 fputs($Ts,$logs."\r\n");
 fclose($Ts);
}
function showmsg($msg='',$flag=false){
 $this->isshwomsg=empty($this->isshwomsg) ? false : true;
 if ($this->isshwomsg) {
  echo '<br />--------------------------------------<br />';
  echo $msg;
  echo '<br />--------------------------------------<br />';
  if ($flag) exit;
 }
}
function get_filter(){
 $getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
 foreach($_GET as $key=>$value){
  $this->StopAttack($key,$value,$getfilter);
 }
}
function post_filter(){
 $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
 foreach($_POST as $key=>$value){
  $this->StopAttack($key,$value,$postfilter);
 }
}
function cookie_filter(){
 $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
 foreach($_COOKIE as $key=>$value){
  $this->StopAttack($key,$value,$cookiefilter);
 }
}
//过滤参数
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){
 if(is_array($StrFiltValue)){
  $StrFiltValue=implode($StrFiltValue);
 }
 if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){
  $msg="<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue;
  $this->wlog($msg);  
  $this->showmsg($msg);  
  exit();
 }  
}
function filter_value_for_sql($str){
 $str = str_replace("and","",$str);
 $str = str_replace("execute","",$str);
 $str = str_replace("update","",$str);
 $str = str_replace("count","",$str);
 $str = str_replace("chr","",$str);
 $str = str_replace("mid","",$str);
 $str = str_replace("master","",$str);
 $str = str_replace("truncate","",$str);
 $str = str_replace("char","",$str);
 $str = str_replace("declare","",$str);
 $str = str_replace("select","",$str);
 $str = str_replace("create","",$str);
 $str = str_replace("delete","",$str);
 $str = str_replace("insert","",$str);
 $str = str_replace("'","",$str);
 $str = str_replace('"',"",$str);
 $str = str_replace(" ","",$str);
 $str = str_replace("or","",$str);
 $str = str_replace("=","",$str);
 $str = str_replace(" ","",$str);
 return $str;
}
//class end
}

下面给大家介绍下PHP数据过滤

1、php提交数据过滤的基本原则

1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。
2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。
4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符。
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
strip_tags($text,);
5)对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想这样也就无懈可击了。

2、PHP简单的数据过滤

1)入库:  trim($str),addslashes($str)
2)出库:  stripslashes($str)
3)显示:  htmlspecialchars(nl2br($str))

0
投稿

猜你喜欢

  • RPC是Remote Procedure Call的缩写,翻译成中文就是远程方法调用,是一种在本地的机器上调用远端机器上的一个过程(方法)的
  • tempfile.TemporaryFile如何你的应用程序需要一个临时文件来存储数据,但不需要同其他程序共享,那么用TemporaryFi
  • Mysql自连接1、在日常对数据库的操作中,我们很熟悉使用INNER JOIN,LEFT JOIN 把一个表和另外一个表连接起来,潜意识里会
  • 代码如下:USE TestDB declare @conversation uniqueidentifier while exists (s
  • 规则:open(file_name[,access_mode][,buffering])参数说明file_name:、文件路径+文件名称,加
  • 装饰器模式装饰器模式解决什么问题?增加新功能,且不改变原有功能和代码选配,根据不同情况,动态调整功能装饰器,顾名思义,就是用来装饰其他实物,
  • 在网络中传输数据时,为了防止网络拥塞,需限制流出网络的流量,使流量以比较均匀的速度向外发送,令牌桶算法就实现了这个功能, 可控制发送到网络上
  • 前言:对于 图片处理,在日常生活中我们常常能够看到。比如发个朋友圈之前,我们需要给自己的照片加个滤镜;在上传头像时候,需要对照片进行裁剪,这
  • 技术在进步,思维在发展,网页上的花样当然也要一天天地赶时髦了。在“滚动字符”、“跑马灯”已成平常的今天,网页上还能变出新花样吗?◆制作鼠标指
  • 前言有的时候我们需要根据不同的用户身份生成不同的路由规则,例如:vip用户应该有自己的vip页面所对应的专用路由。一、初始化项目初始化vit
  • 前言最近工作中遇到个需求是要得到一个类的静态属性,也就是说有个类 Type ,我要动态获取 Type.FTE 这个属性的值。最简单的方案有两
  • 项目开始时是一个关键时刻,选择会对项目产生长期的影响。有很多关于如何开始使用Django框架的教程,但很少讨论如何专业地使用Django,或
  • 前言前面已经讲述了如何获取股票的k线数据,今天我们来分析一下股票的资金流入情况,股票的上涨和下跌都是由资金推动的,这其中的北上资金就是一个风
  • vue-router路由懒加载 和权限控制,今天刚好搞了一个基于node token验证的小demo所以下面介绍下,路由懒加载1、为什么要使
  • 分页一般和表格一起用,分页链接作为表格的一部分,将分页链接封装成一个独立的组件,然后作为子组件嵌入到表格组件中,这样比较合理。效果:代码:1
  • 一、 什么是进程 / 线程1、 引论众所周知,CPU是计算机的核心,它承担了所有的计算任务。而操作系统是计算机的管理者,是一个大管家,它负责
  • 今天看YUI的视频教程,YUI的工程师介绍的一款在线的图片压缩工具,也许你用过,也许没有,不过我这里强烈推荐大家用一下,我用smush.it
  • JavaScript中的typeof其实非常复杂,它可以用来做很多事情,但同时也有很多怪异的表现.本文列举出了它的多个用法,而且还指出了存在
  • 本文记录了windows下python的安装,供大家参考,具体内容如下—–因为我是个真小白,网上的大多入门教程并不适合我这种超级超级小白,有
  • 一、tensorboard的简要介绍TensorBoard是一个独立的包(不是pytorch中的),这个包的作用就是可视化您模型中的各种参数
手机版 网络编程 asp之家 www.aspxhome.com