记录几种php常用的过滤参数方法,提高代码安全性

最新推荐文章于 2024-04-29 00:15:00 发布
最新推荐文章于 2024-04-29 00:15:00 发布
阅读量855 收藏 1
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2x1314258/article/details/115861523
版权

1. stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。

提示:该函数可用于清理从数据库中或者从 HTML 表单中取回的数据。

2. htmlentities() 函数把字符转换为 HTML 实体。

提示:要把 HTML 实体转换回字符,请使用 html_entity_decode() 函数。

提示:请使用 get_html_translation_table() 函数来返回 htmlentities() 使用的翻译表。

3. htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号)成为 &
" (双引号)成为 "
' (单引号)成为 '
< (小于)成为 <
> (大于)成为 >

提示:如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。

4. strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

注释:该函数始终会剥离 HTML 注释。这点无法通过 allow 参数改变。

注释:该函数是二进制安全的。

5. addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是:

单引号(')
双引号(")
反斜杠(\)
NULL

提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。

注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用
addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

Byte Beat
关注
专栏目录
php实现XSS安全过滤方法
10-23
主要介绍了php实现XSS安全过滤方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
php参数过滤、数据过滤
05-01
给大家介绍php参数过滤php数据过滤,包括php提交数据过滤的基本原则,php简单的数据过滤 php提交数据过滤的基本原则 1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。 2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。 3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符
php url参数过滤器,使用 PHP 的 Filter 函数(过滤器)高效、安全地获取请求参数...
weixin_39553653的博客
03-10 493
前言一般,咱们获取请求参数方法为直接访问超全局变量:$_GET,$_POST,$_SERVER,$_ENV,$_COOKIE,而在 php5.2 中,内置了 filter 模块,用于变量的验证和过滤等操做。过滤器函数简化了代码结构,相对于直接访问超全局变量来也更加的高效和安全。php过滤器函数列表:filter_has_var() — 检测是否存在指定类型的变量。filter_id() — 返回...
使用 PHP 的 Filter 函数(过滤器)高效、安全地获取请求参数
Galaxy_0的博客
02-13 546
使用 PHP 的 Filter 函数(过滤器)高效、安全地获取请求参数
php 输入过滤类,php 常用过滤
weixin_35131453的博客
03-18 134
//$str = '汉hah子abc---ABC123_-';//////if(!preg_match("/^[".chr(0xa1)."-".chr(0xff)."A-Za-z0-9_]+$/",$str)) //GB2312汉字字母数字下划线正则表达式//if(!preg_match('#^[\x{4e00}-\x{9fa5}A-Za-z0-9_-]+$#u',$str)) //UTF-8...
php函数的参数过滤方法,PHP参数过滤的函数
weixin_30074329的博客
03-26 429
stripslashesstripslashes — 反引用一个引用字符串说明string stripslashes ( string $str )反引用一个引用字符串。Note:如果 magic_quotes_sybase 项开启,反斜线将被去除,但是两个反斜线将会被替换成一个。一个使用范例是使用 PHP 检测 magic_quotes_gpc 配置项的 开启情况(在 PHP 5.4之 前默认是...
php获取参数几种方法总结
12-19
本文将总结几种PHP中获取参数方法。 1. **$_POST**: 这个超级全局数组用于接收通过HTTP POST方法发送的数据。例如,当你在HTML表单中提交数据时,这些数据通常会以POST方式发送到服务器。要获取这些参数,你...
php 参数过滤、数据过滤详解
10-23
PHP开发中,参数过滤和数据过滤是保护应用不受外部攻击的两种重要方法。通过理解其基本概念、遵循基本原则和采用简单的过滤技术,可以显著增强Web应用的安全性。需要注意的是,上述代码中的过滤规则可能不是完全...
制作安全性高的PHP网站的几个实用要点
10-24
在构建安全性高的PHP网站时,有几个关键点需要特别注意,以确保网站免受潜在的安全威胁。以下是这些实用要点的详细说明: 1. 使用合适的错误报告: 错误报告是调试和发现潜在安全问题的重要工具。在开发阶段,应...
php常用到的数据过滤方法
xgocn的专栏
02-19 1510
<?php /** * global.func.php 公共函数库 */ /** * 返回经addslashes处理过的字符串或数组 * @param $string 需要处理的字符串或数组 * @return mixed */ function new_addslashes($string){ if(!is_array($string)) return addslashes($string); foreach($string as $key => $val)...
php参数过滤、数据过滤类.zip
07-11
给大家介绍php参数过滤php数据过滤,包括php提交数据过滤的基本原则,php简单的数据过滤 php提交数据过滤的基本原则 1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。 2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。 3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符。  $new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES); strip_tags($text,); 5)对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密
PHP 安全:过滤、验证和转义
一夜长风的专栏
09-02 7723
PS:来自http://laravelacademy.org/post/4610.html 我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据
php原生提交数据过滤方法, 防止sql攻击,数据库防护
廖圣平
10-30 1127
如果是原生的php编写的同学们, 往往没有自己做过滤处理,这边分享一个直接运用的方法 因为上传的文件不能为php文件, 所以下载的朋友们,只要用编辑软件打开即可。 使用一般,在链接数据库的地方使用,代码require_once('sqlin.php');头部引入即可使用,放在链接数据库的统计目录下,如果放在同学们指定的路径,自行修改路径。下载点击下载其他 也可以复制代码: <?php re
php mysql入库过滤,过滤SQL关键字,mysql入库字段过滤
weixin_39846361的博客
03-23 273
/***过滤SQL关键字,mysql入库字段过滤*@param$val要过滤的字符串*@returnmixed*/functionsql_replace($val){$val=str_replace(“\t”,'',$val);$val=str_replace(“%20”,'',$val);$val=str_replace(“%27”,...
php 防注入 正则,php 防注入的一段代码(过滤参数)
weixin_36122351的博客
03-09 376
完整代码如下。/*** 过滤输入参数,防止注入* site http://www.jbxue.com*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$ke...
php mysql防注入字符串过滤_PHP 安全三板斧:过滤、验证和转义之过滤篇 & Laravel底层SQL注入规避...
weixin_32060671的博客
02-28 420
PHP 安全三板斧:过滤、验证和转义之过滤篇 & Laravel底层SQL注入规避由 学院君 创建于4年前, 最后更新于 1年前版本号 #328413 views19 likes0 collects我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源:$_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp:...
PHP系列」PHP 过滤
最新发布
日常笔记/总结/系列知识梳理
04-29 929
过滤器可以帮助您清理用户输入、防止跨站脚本攻击(XSS)和其他安全漏洞,并确保数据的完整性和准确性。函数结合使用,根据您的需求进行数据的验证和清理。请注意,过滤器并非万能的,它们主要用于基础的数据验证和清理,而不是用于替代其他安全措施,如输入验证和输出编码。PHP 过滤器扩展提供了一组预定义的过滤器,您可以使用它们来执行常见的验证和过滤任务。这些函数接受要过滤的数据和过滤器的类型作为参数,并返回经过过滤或验证后的数据。函数来执行过滤操作。该函数接受两个参数:要过滤的值和要应用的过滤器的标识符。
php 参数过滤,格式化
weixin_42136237的博客
05-04 98
代码php 参数过滤,格式化。
详解php://filter以及死亡绕过
热门推荐
woshilnp的博客
05-25 1万+
详解php://filter以及死亡绕过 php://filter PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。 php:// — 访问各个输入/输出流(I/O streams) php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_ge
ASP代码安全审计与PHP安全新闻
使用预处理语句、过滤用户输入、限制权限和及时更新软件都是提高PHP应用程序安全性的关键步骤。 无论是ASP还是PHP,安全审计都是开发过程中不可或缺的一环。开发者必须了解并实施最佳安全实践,以降低应用程序被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值