堅強並不只是在大是大非中不屈服,而也是在挫折前不改變自己。以下是小編爲大家搜索整理的PHP數據過濾函數,希望能給大家帶來幫助!更多精彩內容請及時關注我們應屆畢業生考試網!
1、php提交數據過濾的基本原則
1)提交變量進數據庫時,我們必須使用addslashes()進行過濾,像我們的注入問題,一個addslashes()也就搞定了。其實在涉及到變量取值時,intval()函數對字符串的過濾也是個不錯的選擇。
2)在中開啓magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie裏的引號變爲斜槓。magic_quotes_runtime對於進出數據庫的數據可以起到格式話的作用。其實,早在以前注入很瘋狂時,這個參數就很流行了。
3)在使用系統函數時,必須使用escapeshellarg(),escapeshellcmd()參數去過濾,這樣你也就可以放心的使用系統函數。
4)對於跨站,strip_tags(),htmlspecialchars()兩個參數都不錯,對於用戶提交的的帶有html和php的標記都將進行轉換。比如尖括號"<"就將轉化爲 "<"這樣無害的字符。
| 代碼如下 | |
| $new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES); strip_tags($text,); | |
5)對於相關函數的過濾,就像先前的include(),unlink,fopen()等等,只要你把你所要執行操作的變量指定好或者對相關字符過濾嚴密,我想這樣也就無懈可擊了。
2、PHP簡單的數據過濾
1)入庫: trim($str),addslashes($str)
2)出庫: stripslashes($str)
3)顯示: htmlspecialchars(nl2br($str))
看下面的例子以便進一步討論腳本:
| 代碼如下 | |
<?php /* 全局安全處理 */ switch ($_GET['task']) case 'process_form': default: ?> | |
如果這是唯一的可公開訪問到的 PHP 腳本,則可以確信的一點是這個程序的設計可以確保在最開始的全局安全處理無法被繞過。同時也讓開發者容易看到特定任務的控制流程。例如,不需要瀏覽整個代碼就可以容易的知道:當$form_valid爲true時,是唯一顯示給用戶的;由於它在被包含之前,並剛剛初始化爲false,可以確定的是的內部邏輯會將設置它爲true;否則表單將再次顯示(可能會顯示相關的錯誤信息)。
注意
如果你使用目錄定向文件,如(代替),你可以像這樣使用 URL 地址:_form。
你還可以使用 ApacheForceType重定向或者mod_rewrite來調整 URL 地址:。
包含方法
另外一種方式是使用單獨一個模塊,這個模塊負責所有的安全處理。這個模塊被包含在所有公開的 PHP 腳本的最前端(或者非常靠前的部分)。參考下面的腳本
| 代碼如下 | |
<?php switch ($_POST['form']) $sent = array_keys($_POST); if ($allowed == $sent) break; ?> | |
在本例中,每個提交過來的表單都認爲應當含有form這個唯一驗證值,並且獨立處理表單中0需要過濾的數據。實現這個要求的' HTML 表單如下所示:
| 代碼如下 | |
| <form action="/" method="POST"> <input type="hidden" name="form" value="login" /> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <input type="submit" /> </form> | |
叫做$allowed的數組用來檢驗哪個表單變量是允許的, 這個列表在表單被處理前應當是一致的。流程控制決定要執行什麼,而是真正過濾後的數據到達的地方。
注意
確保總是被包含在每個腳本的最開始的位置比較好的方法是使用auto_prepend_file設置。
過濾的例子
建立白名單對於數據過濾是非常重要的。由於不可能對每一種可能遇到的表單數據都給出例子,部分例子可以幫助你對此有一個大體的瞭解。
下面的代碼對郵件地址進行了驗證:
| 代碼如下 | |
<?php $clean = array(); $email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i'; if (preg_match($email_pattern, $_POST['email'])) ?> | |
下面的代碼確保了$_POST['color']的內容是red,green,或者blue:
| 代碼如下 | |
<?php $clean = array(); switch ($_POST['color']) ?> | |
下面的代碼確保$_POST['num']是一個整數(integer):
| 代碼如下 | |
<?php $clean = array(); if ($_POST['num'] == strval(intval($_POST['num']))) ?> | |
下面的代碼確保$_POST['num']是一個浮點數(float):
| 代碼如下 | |
<?php $clean = array(); if ($_POST['num'] == strval(floatval($_POST['num']))) ?> | |
名字轉換
之前每個例子都使用了數組$clean。對於開發人員判斷數據是否有潛在的威脅這是一個很好的習慣。 永遠不要在對數據驗證後還將其保存在$_POST或者$_GET中,作爲開發人員對超級全局數組中保存的數據總是應當保持充分的懷疑。
需要補充的是,使用$clean可以幫助思考還有什麼沒有被過濾,這更類似一個白名單的作用。可以提升安全的等級。
如果僅僅將驗證過的數據保存在$clean,在數據驗證上僅存的風險是你所引用的數組元素不存在,而不是未過濾的危險數據。
時機
一旦 PHP 腳本開始執行,則意味着 HTTP 請求已經全部結束。此時,用戶便沒有機會向腳本發送數據。因此,沒有數據可以被輸入到腳本中(甚至register_globals被開啓的情況下)。這就是爲什麼初始化變量是非常好的習慣。
防注入
| 代碼如下 | |
<?PHP | |
