热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

php过滤特殊危险字符的总结

在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,一般,对于传进来的字符,php可以用addslashes函数处理一遍(要get_magic_quotes_g...
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
当前位置:首页 > PHP教程 > php函数 > 列表
php过滤特殊危险字符的总结
发布: 来源:  添加日期:2014-08-21 15:39:32 浏览: 评论:0 

在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,一般,对于传进来的字符,php可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求,比如这样,代码如下:

  1. if (!get_magic_quotes_gpc()) {      
  2.      add_slashes($_GET);      
  3.      add_slashes($_POST);      
  4.      add_slashes($_COOKIE);      
  5. }      
  6.       
  7. function add_slashes($string) {      
  8.      if (is_array($string)) {      
  9.          foreach ($string as $key => $value) {      
  10.              $string[$key] = add_slashes($value);      
  11.          }      
  12.      } else {      
  13.          $string = addslashes($string);      
  14.      }  
  15.      return $string;      

但是还可以更进一步进行重新编码,解码,代码如下:

//编码 
  1. function htmlencode($str) {       
  2.       if(emptyempty($str)) return;  
  3.       if($str==""return $str;        
  4.       $str=trim($str);  
  5.       $str=str_replace("&","&",$str);  
  6.       $str=str_replace(">",">",$str);  
  7.       $str=str_replace("<","<",$str);  
  8.       $str=str_replace(chr(32)," ",$str);  
  9.       $str=str_replace(chr(9)," ",$str);  
  10.       $str=str_replace(chr(34),"&",$str);  
  11.       $str=str_replace(chr(39),"&#39;",$str);  
  12.       $str=str_replace(chr(13),"",$str);  
  13.       $str=str_replace("&#39;","&#39;&#39;",$str);  
  14.       $str=str_replace("select","sel&#101;ct",$str);  
  15.       $str=str_replace("join","jo&#105;n",$str);  
  16.       $str=str_replace("union","un&#105;on",$str);  
  17.       $str=str_replace("where","wh&#101;re",$str);  
  18.       $str=str_replace("insert","ins&#101;rt",$str);  
  19.       $str=str_replace("delete","del&#101;te",$str);  
  20.       $str=str_replace("update","up&#100;ate",$str);  
  21.       $str=str_replace("like","lik&#101;",$str);  
  22.       $str=str_replace("drop","dro&#112;",$str);  
  23.       $str=str_replace("create","cr&#101;ate",$str);  
  24.       $str=str_replace("modify","mod&#105;fy",$str);  
  25.       $str=str_replace("rename","ren&#097;me",$str);  
  26.       $str=str_replace("alter","alt&#101;r",$str);  
  27.       $str=str_replace("cast","ca&#115;",$str);        
  28.       return $str;   

这样就能更放心的对外来数据进行入库处理了,但是从数据库取出来,在前台显示的时候,必须重新解码一下,代码如下:

  1. //解码 
  2.  
  3. function htmldecode($str) {       
  4.       if(emptyempty($str)) return;  
  5.       if($str=="")  return $str;  
  6.       $str=str_replace("sel&#101;ct","select",$str);  
  7.       $str=str_replace("jo&#105;n","join",$str);  
  8.       $str=str_replace("un&#105;on","union",$str);  
  9.       $str=str_replace("wh&#101;re","where",$str);  
  10.       $str=str_replace("ins&#101;rt","insert",$str);  
  11.       $str=str_replace("del&#101;te","delete",$str);  
  12.       $str=str_replace("up&#100;ate","update",$str);  
  13.       $str=str_replace("lik&#101;","like",$str);  
  14.       $str=str_replace("dro&#112;","drop",$str);  
  15.       $str=str_replace("cr&#101;ate","create",$str);  
  16.       $str=str_replace("mod&#105;fy","modify",$str);  
  17.       $str=str_replace("ren&#097;me","rename",$str);  
  18.       $str=str_replace("alt&#101;r","alter",$str);  
  19.       $str=str_replace("ca&#115;","cast",$str);  
  20.       $str=str_replace("&","&",$str);  
  21.       $str=str_replace(">",">",$str);  
  22.       $str=str_replace("<","<",$str);  
  23.       $str=str_replace(" ",chr(32),$str);  
  24.       $str=str_replace(" ",chr(9),$str);  
  25.       $str=str_replace("&",chr(34),$str);  
  26.       $str=str_replace("&#39;",chr(39),$str);  
  27.       $str=str_replace("",chr(13),$str);  
  28.       $str=str_replace("&#39;&#39;","&#39;",$str);   //开源代码phpfensi.com     
  29.       return $str;  

虽然多了一步编码,解码的过程,但是安全方面,会更进一步,要如何做,自己取舍吧.

再附一些代码如下:

  1. function safe_replace($string) { 
  2.  $string = str_replace(&#39; &#39;,&#39;&#39;,$string); 
  3.  $string = str_replace(&#39;&#39;&#39;,&#39;&#39;,$string); 
  4.  $string = str_replace(&#39;&#39;&#39;,&#39;&#39;,$string); 
  5.  $string = str_replace(&#39;*&#39;,&#39;&#39;,$string); 
  6.  $string = str_replace(&#39;"&#39;,&#39;"&#39;,$string); 
  7.  $string = str_replace("&#39;",&#39;&#39;,$string); 
  8.  $string = str_replace(&#39;"&#39;,&#39;&#39;,$string); 
  9.  $string = str_replace(&#39;;&#39;,&#39;&#39;,$string); 
  10.  $string = str_replace(&#39;<&#39;,&#39;<&#39;,$string); 
  11.  $string = str_replace(&#39;>&#39;,&#39;>&#39;,$string); 
  12.  $string = str_replace("{",&#39;&#39;,$string); 
  13.  $string = str_replace(&#39;}&#39;,&#39;&#39;,$string); 
  14.  return $string
  15.  
  16. //更全面的代码如下: 
  17.  
  18. //处理提交的数据  
  19. function htmldecode($str) {  
  20.  if (emptyempty ( $str ) || "" == $str) {  
  21.  return "";  
  22.  }  
  23.    
  24.  $str = strip_tags ( $str );  
  25.  $str = htmlspecialchars ( $str );  
  26.  $str = nl2br ( $str );  
  27.  $str = str_replace ( "?"""$str );  
  28.  $str = str_replace ( "*"""$str );  
  29.  $str = str_replace ( "!"""$str );  
  30.  $str = str_replace ( "~"""$str );  
  31.  $str = str_replace ( "$"""$str );  
  32.  $str = str_replace ( "%"""$str );  
  33.  $str = str_replace ( "^"""$str );  
  34.  $str = str_replace ( "^"""$str );  
  35.  $str = str_replace ( "select"""$str );  
  36.  $str = str_replace ( "join"""$str );  
  37.  $str = str_replace ( "union"""$str );  
  38.  $str = str_replace ( "where"""$str );  
  39.  $str = str_replace ( "insert"""$str );  
  40.  $str = str_replace ( "delete"""$str );  
  41.  $str = str_replace ( "update"""$str );  
  42.  $str = str_replace ( "like"""$str );  
  43.  $str = str_replace ( "drop"""$str );  
  44.  $str = str_replace ( "create"""$str );  
  45.  $str = str_replace ( "modify"""$str );  
  46.  $str = str_replace ( "rename"""$str );  
  47.  $str = str_replace ( "alter"""$str );  
  48.  $str = str_replace ( "cast"""$str );  
  49.    
  50.  $farr = array ("//s+/", //过滤多余的空白  
  51. "/<(//?)(img|script|i?frame|style|html|body|title|link|meta|/?|/%)([^>]*?)>/isU", //过滤 
  52. "/(<[^>]*)on[a-zA-Z]+/s*=([^>]*>)/isU" )//过滤Javascript的on事件  
  53. ;  
  54.  $tarr = array (" """//如果要直接清除不安全的标签,这里可以留空  
  55. "" );  
  56.  return $str;  

推荐阅读
  • 2023年1月28日网络安全热点
    涵盖最新的网络安全动态,包括OpenSSH和WordPress的安全更新、VirtualBox提权漏洞、以及谷歌推出的新证书验证机制等内容。 ... [详细]
  • Docker基础入门与环境配置指南
    本文介绍了Docker——一款用Go语言编写的开源应用程序容器引擎。通过Docker,用户能够将应用及其依赖打包进容器内,实现高效、轻量级的虚拟化。容器之间采用沙箱机制,确保彼此隔离且资源消耗低。 ... [详细]
  • 本文详细介绍了如何在PHP中使用Memcached进行数据缓存,包括服务器连接、数据操作、高级功能等。 ... [详细]
  • Windows环境下Oracle数据库迁移实践
    本文详细记录了一次在Windows操作系统下将Oracle数据库的控制文件、数据文件及在线日志文件迁移至外部存储的过程,旨在为后续的集群环境部署做好准备。 ... [详细]
  • egg实现登录鉴权(七):权限管理
    权限管理包含三部分:访问页面的权限,操作功能的权限和获取数据权限。页面权限:登录用户所属角色的可访问页面的权限功能权限:登录用户所属角色的可访问页面的操作权限数据权限:登录用户所属 ... [详细]
  • 实现Win10与Linux服务器的SSH无密码登录
    本文介绍了如何在Windows 10环境下使用Git工具,通过配置SSH密钥对,实现与Linux服务器的无密码登录。主要步骤包括生成本地公钥、上传至服务器以及配置服务器端的信任关系。 ... [详细]
  • PHP中Smarty模板引擎自定义函数详解
    本文详细介绍了如何在PHP的Smarty模板引擎中自定义函数,并通过具体示例演示了这些函数的使用方法和应用场景。适合PHP后端开发者学习。 ... [详细]
  • 本文分享了作者在使用LaTeX过程中的几点心得,涵盖了从文档编辑、代码高亮、图形绘制到3D模型展示等多个方面的内容。适合希望深入了解LaTeX高级功能的用户。 ... [详细]
  • Hadoop MapReduce 实战案例:手机流量使用统计分析
    本文通过一个具体的Hadoop MapReduce案例,详细介绍了如何利用MapReduce框架来统计和分析手机用户的流量使用情况,包括上行和下行流量的计算以及总流量的汇总。 ... [详细]
  • 如何高效学习鸿蒙操作系统:开发者指南
    本文探讨了开发者如何更有效地学习鸿蒙操作系统,提供了来自行业专家的建议,包括系统化学习方法、职业规划建议以及具体的开发技巧。 ... [详细]
  • 本文详细探讨了如何根据不同的应用场景选择合适的PHP版本,包括多版本切换技巧、稳定性分析及针对WordPress等特定平台的版本建议。 ... [详细]
  • 本文探讨了如何使用Scrapy框架构建高效的数据采集系统,以及如何通过异步处理技术提升数据存储的效率。同时,文章还介绍了针对不同网站采用的不同采集策略。 ... [详细]
  • 本文介绍了用户界面(User Interface, UI)的基本概念,以及在iOS应用程序中UIView及其子类的重要性和使用方式。文章详细探讨了UIView如何作为用户交互的核心组件,以及它与其他UI控件和业务逻辑的关系。 ... [详细]
  • 本文探讨了线性表中元素的删除方法,包括顺序表和链表的不同实现策略,以及这些策略在实际应用中的性能分析。 ... [详细]
  • 本文探讨了Linux环境下线程私有数据(Thread-Specific Data, TSD)的概念及其重要性,介绍了如何通过TSD技术避免多线程间全局变量冲突的问题,并提供了具体的实现方法和示例代码。 ... [详细]
author-avatar
手机用户2602914917
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有