php表单提交数据的验证处理(防SQL注入和XSS攻击等)

最新推荐文章于 2024-01-31 21:04:21 发布
最新推荐文章于 2024-01-31 21:04:21 发布
阅读量7.3k 收藏 4
点赞数 1
分类专栏: PHP 安全 文章标签: php sql注入 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013372487/article/details/51516186
版权
PHP 同时被 2 个专栏收录
247 篇文章 5 订阅
订阅专栏
安全
2 篇文章 0 订阅
订阅专栏 
    /**
     * 防sql注入字符串转义
     * @param $content 要转义内容
     * @return array|string
     */
    public static function escapeString($content) {
        $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])|(drop[\s])/i";
        if (is_array($content)) {
            foreach ($content as $key=>$value) {
                $content[$key] = addslashes(trim($value));
                if(preg_match($pattern,$content[$key])) {
                    $content[$key] = '';
                }
            }
        } else {
            $content=addslashes(trim($content));
            if(preg_match($pattern,$content)) {
                $content = '';
            }
        }
        return $content;
    }

防XSS攻击代码:

/**
 * 安全过滤函数
 *
 * @param $string
 * @return string
 */
function safe_replace($string) {
    $string = str_replace('%20','',$string);
    $string = str_replace('%27','',$string);
    $string = str_replace('%2527','',$string);
    $string = str_replace('*','',$string);
    $string = str_replace('"','"',$string);
    $string = str_replace("'",'',$string);
    $string = str_replace('"','',$string);
    $string = str_replace(';','',$string);
    $string = str_replace('<','&lt;',$string);
    $string = str_replace('>','&gt;',$string);
    $string = str_replace("{",'',$string);
    $string = str_replace('}','',$string);
    $string = str_replace('\\','',$string);
    return $string;
}

代码实例:

<?php
$user_name = strim($_REQUEST['user_name']);

function strim($str)
{
    //trim() 函数移除字符串两侧的空白字符或其他预定义字符。
    //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体(防xss攻击)。
    //预定义的字符是:
    //& (和号)成为 &amp;
    //" (双引号)成为 &quot;
    //' (单引号)成为 '
    //< (小于)成为 &lt;
    //> (大于)成为 &gt;
    return quotes(htmlspecialchars(trim($str)));
}
//防sql注入
function quotes($content)
{
    //if $content is an array
    if (is_array($content))
    {
        foreach ($content as $key=>$value)
        {
            //$content[$key] = mysql_real_escape_string($value);
            /*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
            预定义字符是:
            单引号(')
            双引号(")
            反斜杠(\)
            NULL */
            $content[$key] = addslashes($value);
        }
    } else
    {
        //if $content is not an array
        //$content=mysql_real_escape_string($content);
        $content=addslashes($content);
    }
    return $content;
}

?>
//过滤sql注入
function filter_injection(&$request)
{
    $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";
    foreach($request as $k=>$v)
    {
                if(preg_match($pattern,$k,$match))
                {
                        die("SQL Injection denied!");
                }

                if(is_array($v))
                {
                    filter_injection($request[$k]);
                }
                else
                {
                    if(preg_match($pattern,$v,$match))
                    {
                        die("SQL Injection denied!");
                    }
                }
    }

}

防sql注入:
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
下列字符受影响:
\x00
\n
\r
\


\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
语法
mysql_real_escape_string(string,connection)
参数 描述
string 必需。规定要转义的字符串。
connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

对于纯数字或数字型字符串的校验可以用
is_numeric()检测变量是否为数字或数字字符串
实例:

<?php 
function get_numeric($val) { 
  if (is_numeric($val)) { 
    return $val + 0; 
  } 
  return 0; 
} 
?>

is_array — 检测变量是否是数组
bool is_array ( mixed $var )
如果 var 是 array,则返回 TRUE,否则返回 FALSE。

is_dir 判断给定文件名是否是一个目录
bool is_dir ( string $filename )
判断给定文件名是否是一个目录。
如果文件名存在,并且是个目录,返回 TRUE,否则返回FALSE。

is_file — 判断给定文件名是否为一个正常的文件
bool is_file ( string $filename )
判断给定文件名是否为一个正常的文件。
如果文件存在且为正常的文件则返回 TRUE,否则返回 FALSE。
Note: 因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型,对 2GB 以上的文件,一些文件系统函数可能返回无法预期的结果 。

is_bool — 检测变量是否是布尔型
bool is_bool ( mixed $var )如果 var 是 boolean 则返回 TRUE。

is_string — 检测变量是否是字符串
bool is_string ( mixed $var )
如果 var 是 string 则返回 TRUE,否则返回 FALSE。

is_int — 检测变量是否是整数
bool is_int ( mixed $var )
如果 var 是 integer 则返回 TRUE,否则返回 FALSE。
Note:
若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

is_float — 检测变量是否是浮点型
bool is_float ( mixed $var )
如果 var 是 float 则返回 TRUE,否则返回 FALSE。
Note:
若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

is_null — 检测变量是否为 NULL
bool is_null ( mixed $var )
如果 var 是 null 则返回 TRUE,否则返回 FALSE。

is_readable — 判断给定文件名是否可读
bool is_readable ( string $filename )判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE,否则返回 FALSE。

is_writable — 判断给定的文件名是否可写
bool is_writable ( string $filename )
如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。

file_exists — 检查文件或目录是否存在
bool file_exists ( string $filename )
检查文件或目录是否存在。
在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。
如果由 filename 指定的文件或目录存在则返回 TRUE,否则返回 FALSE。

is_executable — 判断给定文件名是否可执行
bool is_executable ( string $filename )判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE,错误时返回FALSE。

木偶跳舞
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
针对PHP开发安全问题的相关总结
01-20
对于互联网应用的开发,作为开发者必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不太关心,特别是对大多数没有经验的开发者来说。每当你做任何涉及到钱财事务等交易问题时,都要特别注意安全问题的考虑。 安全保护一般性要点 1、不相信表单 对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过POST恶意数据到服务器。需要在服务器端进行验证,对每个php脚本验证传递到的数据XSS攻击SQL注入 2、不相信用户 要假设你的网站接收的每一条数据都是存在恶意代码的,存在隐藏的威胁,要对每一条数据都进行清理 3、关闭
PHP实现表单提交数据验证处理功能【SQL注入XSS攻击等】
10-19
主要介绍了PHP实现表单提交数据验证处理功能,可实现SQL注入XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下
【web应用安全攻技术】02 SQL注入 & XSS注入
最新发布
m0_57432233的博客
01-31 1470
SQL注入攻击是利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术跨站脚本是一种通常存在于Web应用程序中的安全漏洞,使得攻击者可以将恶意的代码注入到网页中,从而危害其他Web访问者(敏感信息、客户端渗透攻击等)客户端脚本:Javascript,Flash ActionScript等。
phpcms数据库使用Medoo注入安全升级
weixin_43748386的博客
12-25 728
由于工作的需要,我使用Medoo有好长一段时间了。 为什么要使用Medoo 非常的轻量 未压缩只有 34KB。 简单 非常的容易学习,快速上手。 强大 支持各种常见的SQL查询。 兼容 支持各种数据:MySQL, MSSQL, SQLite, MariaDB, Oracle, Sybase, PostgreSQL等等 安全 SQL注入 免费 MIT 协议, 你可以进行任何修改。 轻量级的PHP...
php验证sql注入,PHP实现表单提交数据验证处理功能【SQL注入XSS攻击等】
weixin_32909875的博客
04-05 233
本文实例讲述了PHP实现表单提交数据验证处理功能。分享给大家供大家参考,具体如下:XSS攻击代码:PHP;">/*** 安全过滤函数** @param $string* @return string*/function safe_replace($string) {$string = str_replace('%20','',$string);$string = str_replace(...
php cms 代码注入,PHPCMS全版本通杀SQL注入漏洞
weixin_42458282的博客
04-14 895
漏洞分析首先看下面的代码/phpcms/modules/member/content.php 202行 edit函数[php]public function edit() {$_username = $this->memberinfo['username'];if(isset($_POST['dosubmit'])) {$catid = $_POST['info']['catid'] = i...
mysql斜杠转义php_PHP 转义与反转义函数
weixin_31822835的博客
01-27 412
php向mysql数据库插入数据进行转义包括两方面的操作,第一方面需要在添加数据时通过数据转义将数据写入库中,第二方面在将数据显示在页面时需要再次将数据恢复为原始状态,即反转义。一、数据转义1 mysql_escape_string($content)二、反转义1 stripslashes($content)以上两行代码即可实现php向mysql数据库插入数据转义操作。get_magic_quot...
PHP用户输入安全过滤和注入攻击检测
weixin_33859665的博客
02-22 538
摘抄自ThinkPHP /** * 获取变量 支持过滤和默认值 * @param array $data 数据源 * @param string|false $name 字段名 * @param mixed $default 默认值 * @param string|array $filter 过滤函数 * @return mixed...
php脚本重命名合法性检验,php is_executable判断给定文件名是否可执行实例
weixin_39609622的博客
03-10 125
php is_executable函数用于判断某一文件是否可以执行,如果文件存在且可执行则返回 TRUE ,错误时返回 FALSE, 本文章向大家介绍is_executable函数的基本语法和使用实例。php is_executable函数介绍is_executable函数用于判断给定文件名是否可执行语法:bool is_executable ( string $filename )判断给定文...
php参数注入,php过滤客户提交参数注入
weixin_36459720的博客
03-21 284
以下代码实现过滤php的$_GET 和$_POST参数/*** 安全范*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$key]=filterHtml(...
php数据提交过滤,php获取前端提交数据类:支持危险数据过滤
weixin_31328141的博客
04-11 102
代码:/*** 获取前台提交的数据:支持危险数据自动过滤*/class getRequest{/*判断前端传入方式,转换成能用数据*/public function getRequestData(){$data;$ret;$contenttype = strtolower($_SERVER[‘CONTENT_TYPE‘]);$method = strtolower($_SERVER[‘REQUES...
迅睿CMS免费开源系统-PHP
06-20
4、利用ZF提供的与安全相关的组件,包括 SQL 注入、XSS、CSRF、垃圾邮件和密码暴力破解攻击 5、动态缓存技术让动态页面新增支持缓存,让采用动态页面模式的网站访问速度更快,效率更高 6、全站支持HTTPS传输协议,更...
SQL注入基础四---PHP表单验证
qq_41759633的博客
08-04 220
什么是表单 表单在网页中注意负责数据采集功能。 一个表单有三个基本组成部分 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法. <fomr action="URL" method="GET/POST" enctype="multipart/form-data">` 属性 值 描述 action URL 表单提交的目的地 met...
php表单安全验证,PHP.form表单参数安全验证函数,mysqlsql注入
weixin_39664995的博客
03-12 135
一.form表单参数安全验证函数(sql注入等等)!/***表单参数安全判断,sql注入:方法一(推荐)*author:xiaochuan*@param:mixed$value参数值*@param:array$rules检测规则*return:boolean*/functioncheck_param($value,$rules=''){$rules=em...
PHP程序提示sql注入漏洞的处理方法
wwwwestcn的博客
04-23 635
如果想整站注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!添加require_once('360_safe3.php');1.解压后将360_safe3.php传到要包含的文件的目录。a).在所需要护的页面加入代码。就可以做到页面注入、跨站。常用php系统添加文件。
php 禁止用注入函数,PHP注入函数代码总结_PHP教程
weixin_35662493的博客
03-21 372
/*函数名称:post_check()函数作用:对提交的编辑内容进行处理参  数:$post: 要提交的内容返 回 值:$post: 返回过滤后的内容*/function post_check($post) {if (! get_magic_quotes_gpc ()) { // 判断magic_quotes_gpc是否为打开$post = addslashes ( $post ); // 进行m...
php 安全控制止外部提交,php注入,php中过滤一切提交数据, 安全控制止外部提交...
weixin_33389398的博客
03-29 241
规则 1:绝不要信任外部数据或输入关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。例如,下面的数据元素可以被认为是安全的,因为它们是在 ...
php 过滤多个字符,php过滤form表单提交的危险字符几个代码
weixin_39687422的博客
03-25 162
//php过滤form表单提交的危险字符//处理提交的数据functionhtmldecode($str){if(empty($str)||""==$str){return"";}$str=strip_tags($str);$str=htmlspecialchars($str);$str=nl2br($str);$str=str_repla...
表单的validate
05-12
表单验证(form validation)是指在提交表单之前对表单数据进行检查和验证的过程。这是一个非常重要的步骤,可以有效地止用户输入无效或不正确的数据,从而提高数据质量和保护应用程序不受攻击。 表单验证通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值