php过滤特殊危险字符的总结
作者:手机用户2602914917 | 来源:互联网 | 2014-08-24 13:57
在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,一般,对于传进来的字符,php可以用addslashes函数处理一遍(要get_magic_quotes_g...
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
php过滤特殊危险字符的总结
发布: 来源: 添加日期:2014-08-21 15:39:32 浏览: 评论:0
在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,一般,对于传进来的字符,php可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求,比如这样,代码如下:
- if (!get_magic_quotes_gpc()) {
- add_slashes($_GET);
- add_slashes($_POST);
- add_slashes($_COOKIE);
- }
-
- function add_slashes($string) {
- if (is_array($string)) {
- foreach ($string as $key => $value) {
- $string[$key] = add_slashes($value);
- }
- } else {
- $string = addslashes($string);
- }
- return $string;
- }
但是还可以更进一步进行重新编码,解码,代码如下:
- function htmlencode($str) {
- if(emptyempty($str)) return;
- if($str=="") return $str;
- $str=trim($str);
- $str=str_replace("&","&",$str);
- $str=str_replace(">",">",$str);
- $str=str_replace("<","<",$str);
- $str=str_replace(chr(32)," ",$str);
- $str=str_replace(chr(9)," ",$str);
- $str=str_replace(chr(34),"&",$str);
- $str=str_replace(chr(39),"&#39;",$str);
- $str=str_replace(chr(13),"",$str);
- $str=str_replace("&#39;","&#39;&#39;",$str);
- $str=str_replace("select","sel&#101;ct",$str);
- $str=str_replace("join","jo&#105;n",$str);
- $str=str_replace("union","un&#105;on",$str);
- $str=str_replace("where","wh&#101;re",$str);
- $str=str_replace("insert","ins&#101;rt",$str);
- $str=str_replace("delete","del&#101;te",$str);
- $str=str_replace("update","up&#100;ate",$str);
- $str=str_replace("like","lik&#101;",$str);
- $str=str_replace("drop","dro&#112;",$str);
- $str=str_replace("create","cr&#101;ate",$str);
- $str=str_replace("modify","mod&#105;fy",$str);
- $str=str_replace("rename","ren&#097;me",$str);
- $str=str_replace("alter","alt&#101;r",$str);
- $str=str_replace("cast","ca&#115;",$str);
- return $str;
- }
这样就能更放心的对外来数据进行入库处理了,但是从数据库取出来,在前台显示的时候,必须重新解码一下,代码如下:
-
-
- function htmldecode($str) {
- if(emptyempty($str)) return;
- if($str=="") return $str;
- $str=str_replace("sel&#101;ct","select",$str);
- $str=str_replace("jo&#105;n","join",$str);
- $str=str_replace("un&#105;on","union",$str);
- $str=str_replace("wh&#101;re","where",$str);
- $str=str_replace("ins&#101;rt","insert",$str);
- $str=str_replace("del&#101;te","delete",$str);
- $str=str_replace("up&#100;ate","update",$str);
- $str=str_replace("lik&#101;","like",$str);
- $str=str_replace("dro&#112;","drop",$str);
- $str=str_replace("cr&#101;ate","create",$str);
- $str=str_replace("mod&#105;fy","modify",$str);
- $str=str_replace("ren&#097;me","rename",$str);
- $str=str_replace("alt&#101;r","alter",$str);
- $str=str_replace("ca&#115;","cast",$str);
- $str=str_replace("&","&",$str);
- $str=str_replace(">",">",$str);
- $str=str_replace("<","<",$str);
- $str=str_replace(" ",chr(32),$str);
- $str=str_replace(" ",chr(9),$str);
- $str=str_replace("&",chr(34),$str);
- $str=str_replace("&#39;",chr(39),$str);
- $str=str_replace("",chr(13),$str);
- $str=str_replace("&#39;&#39;","&#39;",$str);
- return $str;
- }
虽然多了一步编码,解码的过程,但是安全方面,会更进一步,要如何做,自己取舍吧.
再附一些代码如下:
- function safe_replace($string) {
- $string = str_replace(&#39; &#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;&#39;&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;&#39;&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;*&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;"&#39;,&#39;"&#39;,$string);
- $string = str_replace("&#39;",&#39;&#39;,$string);
- $string = str_replace(&#39;"&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;;&#39;,&#39;&#39;,$string);
- $string = str_replace(&#39;<&#39;,&#39;<&#39;,$string);
- $string = str_replace(&#39;>&#39;,&#39;>&#39;,$string);
- $string = str_replace("{",&#39;&#39;,$string);
- $string = str_replace(&#39;}&#39;,&#39;&#39;,$string);
- return $string;
- }
-
-
-
-
- function htmldecode($str) {
- if (emptyempty ( $str ) || "" == $str) {
- return "";
- }
-
- $str = strip_tags ( $str );
- $str = htmlspecialchars ( $str );
- $str = nl2br ( $str );
- $str = str_replace ( "?", "", $str );
- $str = str_replace ( "*", "", $str );
- $str = str_replace ( "!", "", $str );
- $str = str_replace ( "~", "", $str );
- $str = str_replace ( "$", "", $str );
- $str = str_replace ( "%", "", $str );
- $str = str_replace ( "^", "", $str );
- $str = str_replace ( "^", "", $str );
- $str = str_replace ( "select", "", $str );
- $str = str_replace ( "join", "", $str );
- $str = str_replace ( "union", "", $str );
- $str = str_replace ( "where", "", $str );
- $str = str_replace ( "insert", "", $str );
- $str = str_replace ( "delete", "", $str );
- $str = str_replace ( "update", "", $str );
- $str = str_replace ( "like", "", $str );
- $str = str_replace ( "drop", "", $str );
- $str = str_replace ( "create", "", $str );
- $str = str_replace ( "modify", "", $str );
- $str = str_replace ( "rename", "", $str );
- $str = str_replace ( "alter", "", $str );
- $str = str_replace ( "cast", "", $str );
-
- $farr = array ("//s+/", //过滤多余的空白
- "/<(//?)(img|script|i?frame|style|html|body|title|link|meta|/?|/%)([^>]*?)>/isU", //过滤
- "/(<[^>]*)on[a-zA-Z]+/s*=([^>]*>)/isU" )
- ;
- $tarr = array (" ", "",
- "" );
- return $str;
- }
推荐阅读
-
本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ...
[详细]
蜡笔小新 2023-12-14 18:16:27
-
本文介绍了在开发Android新闻App时,搭建本地服务器的步骤。通过使用XAMPP软件,可以一键式搭建起开发环境,包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表,并设置相应的属性。最后,给出了创建new表的SQL语句。这个教程适合初学者参考。 ...
[详细]
蜡笔小新 2023-12-14 17:15:19
-
-
本文介绍了Metasploit攻击渗透实践的内容和要求,包括主动攻击、针对浏览器和客户端的攻击,以及成功应用辅助模块的实践过程。其中涉及使用Hydra在不知道密码的情况下攻击metsploit2靶机获取密码,以及攻击浏览器中的tomcat服务的具体步骤。同时还讲解了爆破密码的方法和设置攻击目标主机的相关参数。 ...
[详细]
蜡笔小新 2023-12-14 12:14:09
-
在说Hibernate映射前,我们先来了解下对象关系映射ORM。ORM的实现思想就是将关系数据库中表的数据映射成对象,以对象的形式展现。这样开发人员就可以把对数据库的操作转化为对 ...
[详细]
蜡笔小新 2023-12-14 10:57:47
-
本文介绍了在SpringBoot中集成thymeleaf前端模版的配置步骤,包括在application.properties配置文件中添加thymeleaf的配置信息,引入thymeleaf的jar包,以及创建PageController并添加index方法。 ...
[详细]
蜡笔小新 2023-12-14 10:11:46
-
本文详细介绍了Linux中进程控制块PCBtask_struct结构体的结构和作用,包括进程状态、进程号、待处理信号、进程地址空间、调度标志、锁深度、基本时间片、调度策略以及内存管理信息等方面的内容。阅读本文可以更加深入地了解Linux进程管理的原理和机制。 ...
[详细]
蜡笔小新 2023-12-13 21:31:18
-
本文详细介绍了搭建Windows Server 2012 R2 IIS8.5+PHP(FastCGI)+MySQL环境的步骤,包括环境说明、相关软件下载的地址以及所需的插件下载地址。 ...
[详细]
蜡笔小新 2023-12-14 17:03:58
-
本文介绍了PHP设置MySQL字符集的方法,详细介绍了使用mysqli_set_charset函数来规定与数据库服务器进行数据传送时要使用的字符集。通过示例代码演示了如何设置默认客户端字符集。 ...
[详细]
蜡笔小新 2023-12-14 15:30:33
-
本文介绍了Java序列化对象传给PHP的方法及原理,包括Java对象传递的方式、序列化的方式、PHP中的序列化用法介绍、Java是否能反序列化PHP的数据、Java序列化的原理以及解决Java序列化中的问题。同时还解释了序列化的概念和作用,以及代码执行序列化所需要的权限。最后指出,序列化会将对象实例的所有字段都进行序列化,使得数据能够被表示为实例的序列化数据,但只有能够解释该格式的代码才能够确定数据的内容。 ...
[详细]
蜡笔小新 2023-12-14 15:25:15
-
本文介绍了Android中高级面试的必知必会内容,并总结了相关经验。文章指出,如今的Android市场对开发人员的要求更高,需要更专业的人才。同时,文章还给出了针对Android岗位的职责和要求,并提供了简历突出的建议。 ...
[详细]
蜡笔小新 2023-12-14 14:53:02
-
本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目,以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数,以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ...
[详细]
蜡笔小新 2023-12-14 14:06:10
-
本文介绍了Redis的基础数据结构string的应用场景,并以面试的形式进行问答讲解,帮助读者更好地理解和应用Redis。同时,描述了一位面试者的心理状态和面试官的行为。 ...
[详细]
蜡笔小新 2023-12-14 14:02:42
-
本文介绍了在Hibernate配置lazy=false时无法加载数据的问题,通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程,包括运行环境和数据库的配置信息。 ...
[详细]
蜡笔小新 2023-12-14 13:59:45
-
本文由编程笔记小编整理,介绍了PHP中的MySQL函数库及其常用函数,包括mysql_connect、mysql_error、mysql_select_db、mysql_query、mysql_affected_row、mysql_close等。希望对读者有一定的参考价值。 ...
[详细]
蜡笔小新 2023-12-14 08:19:53
-
数据库(外键及其约束理解)(https:www.cnblogs.comchenxiaoheip6909318.html)My ...
[详细]
蜡笔小新 2023-12-13 19:24:01
-
手机用户2602914917
这个家伙很懒,什么也没留下!
京公网安备 11010802041100号