PHP中使用Filter进行数据安全过滤

最新推荐文章于 2021-07-28 16:38:59 发布
最新推荐文章于 2021-07-28 16:38:59 发布
阅读量189 收藏
点赞数
分类专栏: Php / Pear / Mysql / Node.js 文章标签: PHP QQ Blog ASP HTML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_5904/article/details/81994474
版权

安全是个永恒的话题,任何一个PHPer都免不了要过数据验证及过滤这一关。通常的验证方法,相信只要有点经验的PHPer都能写个八九不离十,只是安全性高低的问题。这里我来介绍一种利用PHP的Filter来进行验证的方法,既简单又高效。


Filter 曾作为PHP扩展(PECL)的一部分,使用时需要加载外部库文件,但在PHP 5.2之后的版本已编译到PHP中,使用时无需加载。目前filter提供函数有:filter_has_var、filter_id、 filter_input_array、filter_input、filter_var_array、filter_var。限于篇幅,这里只介绍两个 最常使用的,filter_var和filter_input。filter_var用于页面内部变量的内容过滤,filter_input用于外部变量 (如POST、GET、COOKIE等)的内容过滤。

 

首先来介绍filter_var函数,先看下函数原型:
mixed filter_var ( mixed $variable [, int $filter [, mixed $options ]] )
$variable——要过滤的变量
$filter——要过滤的类型ID常量
$options——过滤类型参数


其 中需要重点掌握的是$filter参数,它是一些有特殊含义的预定义常量,如:FILTER_VALIDATE_INT代表验证整数型变 量,FILTER_VALIDATE_EMAIL代表验证email格式等。(更多常量可以查看PHP手册关于Filter部分的内容,里面有该参数的详 细列表)


对于返回值的情况,匹配时,匹配正确返回原内容,匹配错误时返回false;过滤时,返回过滤后内容。


下面是一些使用例子:

<?
 //整型格式测试
$var = '12345';
var_dump(filter_var($var, FILTER_VALIDATE_INT));
$var = '12B45';
var_dump(filter_var($var, FILTER_VALIDATE_INT));

$var=300;
$int_options = array("options"=>array("min_range"=>0, "max_range"=>256));
var_dump(filter_var($var, FILTER_VALIDATE_INT
, $int_options))

//Email格式测试
$var = 'linvo@126.com';
var_dump(filter_var($var, FILTER_VALIDATE_EMAIL));
$var = 'linvo@126com';
var_dump(filter_var($var, FILTER_VALIDATE_EMAIL));

//IP格式测试
$var = '11.22.33.44';
var_dump(filter_var($var, FILTER_VALIDATE_IP));
$var = '111.222.333.444';
var_dump(filter_var($var, FILTER_VALIDATE_IP));

//URL格式测试
$var = 'http://www.linvo2008.cn/blog';
var_dump(filter_var($var, FILTER_VALIDATE_URL));
$var = 'www.linvo2008.cn/blog';
var_dump(filter_var($var, FILTER_VALIDATE_URL));

//去除超文本标签测试
$var = 'This is a <a href="#" mce_href="#">link</a> test!';
var_dump(filter_var($var, FILTER_SANITIZE_STRING));
 

大家可以自己运行一下看看结果。另外,对于第三个$options参数,可以对验证类型进行详细设置。比如验证IP时,可以通过该参数设置过滤规则为IPv4还是IPv6:

 

<?
//IPv6格式测试(支持缩写形式)
$var = '2001:0db8:85a3::1319:8a2e:0370:7344';
var_dump(filter_var($var, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6));
 

其他详细参数见PHP手册。

 

以上是页面内部变量的过滤,但我们希望的是可以直接验证用户输入的数据,这些数据是外部变量过来的,这就用到了filter_input函数:


mixed filter_input ( int $type , string $variable_name [, int $filter [, mixed $options ]] )
从 函数原型可以看出,除了原来那三个参数外,多了第一个$type参数。该参数用于设置要过滤变量所在的数组,也就相当于:post方式过来的保存 在$_POST数组中;get方式过来的保存在$_GET数组中一样。它也是通过预定义常量进行设置的,如:post对应INPUT_POST,get对 应INPUT_GET等。(更多常量见PHP手册)
下面也来个例子吧,该例子由两个页面组成:index.html前端表单页面;do.php后端处理页面。


file:index.html

 

<form action="do.php" method="post">
<label>Name:</label>
<input name="name" type="text" />
<label>QQ:</label>
<input name="qq" type="text" />
<label>Email:</label>
<input name="email" type="text" />
<label>Blog:</label>
<input name="blog" type="text" />
<input type="submit" />
</form>
 

file:do.php

 

<?
$name  = filter_input(INPUT_POST, 'name', FILTER_SANITIZE_STRING);
$qq  = filter_input(INPUT_POST, 'qq', FILTER_VALIDATE_INT);
$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
$blog  = filter_input(INPUT_POST, 'blog', FILTER_VALIDATE_URL); 
$error  = '<em>Error</em>';
echo 'Name:',$name;
$msg  = $qq === false ? $error : $qq;
echo 'QQ:',$msg;
$msg  = $email === false ? $error : $email;
echo 'Email:',$msg;
$msg  = $blog === false ? $error : $blog;
echo 'Blog:',$msg;
 

index.html页面演示效果(提交前):

do.php页面演示效果(提交后):

到这里,大家应该基本掌握了Filter的使用了,更多用途等待大家自己去发掘:)

 

参考:http://www.w3school.com.cn/php/php_ref_filter.asp

 

 

 

 

 

 

 

iteye_5904
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp5 异步调用方法_代码审计 | ThinkPHP5漏洞分析之代码执行(二)
weixin_30539081的博客
12-21 349
本系列文章将针对 ThinkPHP 的历史漏洞进行分析,今后爆出的所有 ThinkPHP 漏洞分析,也将更新于ThinkPHP-Vuln(https://github.com/Mochazz/ThinkPHP-Vuln) 项目上。本篇文章,将分析 ThinkPHP 存在的 远程代码执行 漏洞。漏洞概要本次漏洞存在于 ThinkPHP 底层没有对控制器名进行很好的合法性校验,导致在未开启...
学习笔记:内容安全过滤技术
TKE_yinian的博客
03-06 3857
#内容安全过滤技术总体介绍文件内容过滤文件过滤流程内容过滤过滤类型关键字内容过滤处理流程邮件过滤邮件协议介绍RBL黑名单的查询邮件内容过滤应用行为控制技术 总体介绍 文件过滤技术:根据文件特征进行文件过滤,FW能够识别出承载文件的应用、文件传输方向、文件类型和文件扩展名。 • 承载文件的应用:文件是承载在应用协议上传输的,例如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。 • 文...
php get安全过滤,php 有效安全过滤get,posd,cookie_PHP教程
weixin_42398730的博客
03-11 148
php 有效安全过滤get,posd,cookiephp 有效安全过滤get,posd,cookiesession_set_cookie_params(0, COOKIE_PATH, COOKIE_DOMAIN);if($_REQUEST){if(MAGIC_QUOTES_GPC){$_REQUEST = new_stripslashes($_REQUEST);if($_COOKIE) $_COO...
保留字列表 php,php 保留字列表
weixin_32801929的博客
03-11 415
这些词语在 PHP 有着特殊的意义。它们有些像是函数,有些像是常量……但是它们不是的,它们只是语言结构的一部分。不能使用它们的任何一个作为常量、方法名或是类名。但是可以将它们作为变量名使用,不过这样会导致混淆。PHP 关键词 and or xor __FILE__ exception (PHP 5)__LINE__ array() as break caseclass const contin...
php 数据安全性(过滤提交的数据)
qq_36627117的博客
07-28 245
form表单数据的提交有很大方面的安全性的机制,或者通过地址方式进行提交数据也是如此。所以要把数据保存到数据库,为了安全考虑,就要对保存到数据库的数据进行过滤,从而提高安全效果,数据保存到数据库也就得到了保障,所以要对提交的数据进行过滤php过滤提交方法如下: function db_prepare_input($string) { if (is_string($string)) { return trim(sanitize_string(stripslashes(...
数据过滤对系统安全的必要性及过滤示例
05-18
注入漏洞及XSS存儲漏洞等,幾乎都是由於對入口數據沒有進行過濾就傳遞到OS或數據庫執行導致的。下文以靶机平台上的注入页面为例对OS指令注入及修改应对策略(过滤方式)进行展开。
phpfilter函数验证、过滤用户输入的数据
10-26
PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤,下面为大家整理了一些,需要的朋友可以了解下
PHP Filter过滤器全面解析
10-21
PHP 过滤器用于验证和过滤来自非安全来源的数据。本文给大家全面解析PHP Filter过滤器的相关知识,非常不错,感兴趣的朋友一起学习吧
dms-filter-master基于标注的PHP过滤库.zip
07-11
<?php namespace DMS\Filter; class Filter implements FilterInterface { ... protected $metadataFactory;...您应该始终对外部数据进行过滤!输入过滤是最重要的应用程序安全课题之一。
PHP filter_var()函数验证邮箱等..
何处寻欢
01-17 947
&lt;?php /** * Created by PhpStorm. * User: Itboot * Date: 2019/1/16 * Time: 16:30 */ $email = 'intb&lt;&gt;&gt;&lt;M&lt;&lt;&gt;&gt;&gt;&lt;DSlkfad&lt;&lt;[email protected]'; $emailSafe...
妙用php的array_filter()获取数据
热门推荐
忆浅曦
04-29 1万+
这种问题一般我们常见于页面上既要用到总表,又要用到其某个用户单条数据的情况。而常见的两种解决方法是1.两次查库取出总表和符合条件的单条数据;(在数据库的数据量不多,涉及到的表较少的情况)2.取出总表用php foreach进行循环,在循环体判断数据是否符合条件,符合则结束循环并返回这条数据(数据量大,涉及到的数据表多且结构复杂)。是不是哪一种看起来都很麻烦,太简单粗暴不太适合我这种追求矫情美感的
CodeIgniter 的数据安全过滤全解析
Just Code
12-12 375
由于对CI的SQL安全这些不放心,今天寡人啃了一下午的代码,算是对其机制比较了解了,为了让各位兄弟姐妹少走弯路,特将战果公布,希望大家喜欢。 1.无论如何在获取参数之时都建设将 xss过滤打开,比如 $this-&gt;input-&gt;get('username',true); 其的true就代表打开了 xss 2.不要直接使用$_GET等类似方式获得数据,如果这样获取数据的话将不会...
php+安全过滤+函数,PHP安全过滤函数有哪些?
weixin_32484897的博客
04-07 917
PHP安全过滤函数有:1、stripslashes函数;2、htmlspecialchars函数;3、htmlentities函数;4、strip_tags函数;5、intval函数等等。现代互联网,我们经常要 从世界各地的用户获得输入数据。但是,我们都知道“永远不能相信那些用户输入的数据”。之前做PHP开发的时候,小网站、低需求,也产生了几个不安全的开发作品。PHP的安全过滤函数的使用可以有...
PHP验证、过滤参数还在用正则?使用过滤器函数也可以
@日月空@的博客
04-17 593
1. filter_has_var – 函数检查是否存在指定输入类型的变量 #成功时返回 TRUE, 或者在失败时返回 FALSE。 bool filter_has_var( int $type, string $variable_name) #type 可选类型INPUT_GET, INPUT_POST, INPUT_COOKIE, INPUT_SERVER, INPUT_ENV. #var...
php安全处理 过滤函数,PHP数据过滤函数的方法
weixin_33922644的博客
03-10 297
PHP数据过滤函数的方法PHP是一种 HTML 内嵌式的语言,是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,被广泛地运用。以下是小编为大家搜索整理的PHP数据过滤函数的方法,希望能给大家带来帮助!更多精彩内容请及时关注我们应届毕业生考试网!1、php提交数据过滤的基本原则1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个add...
node-v12.16.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
php使用PDO时应当如何过滤用户输入的数据来保证百分之百的安全
05-30
使用PDO时,为了保证代码的安全性,需要对用户输入的数据进行过滤和转义。以下是一些常见的过滤和转义方法,可以帮助保证代码的安全性: 1. 使用`filter_var()`函数对用户输入进行过滤,例如使用`FILTER_SANITIZE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值