PHP中使用Filter进行数据安全过滤

最新推荐文章于 2021-03-28 20:48:18 发布
最新推荐文章于 2021-03-28 20:48:18 发布
阅读量174 收藏
点赞数
分类专栏: PHP源码 文章标签: filter php input 测试 email string

安全是个永恒的话题,任何一个PHPer都免不了要过数据验证及过滤这一关。通常的验证方法,相信只要有点经验的PHPer都能写个八九不离十,只是安全性高低的问题。这里我来介绍一种利用PHP的Filter来进行验证的方法,既简单又高效。


Filter 曾作为PHP扩展(PECL)的一部分,使用时需要加载外部库文件,但在PHP 5.2之后的版本已编译到PHP中,使用时无需加载。目前filter提供函数有:filter_has_var、filter_id、 filter_input_array、filter_input、filter_var_array、filter_var。限于篇幅,这里只介绍两个最常使用的,filter_var和filter_input。filter_var用于页面内部变量的内容过滤,filter_input用于外部变量(如POST、GET、COOKIE等)的内容过滤。

 

首先来介绍filter_var函数,先看下函数原型:
mixed filter_var ( mixed $variable [, int $filter [, mixed $options ]] )
$variable——要过滤的变量
$filter——要过滤的类型ID常量
$options——过滤类型参数


其中需要重点掌握的是$filter参数,它是一些有特殊含义的预定义常量,如:FILTER_VALIDATE_INT代表验证整数型变量,FILTER_VALIDATE_EMAIL代表验证email格式等。(更多常量可以查看PHP手册关于Filter部分的内容,里面有该参数的详细列表)


对于返回值的情况,匹配时,匹配正确返回原内容,匹配错误时返回false;过滤时,返回过滤后内容。


下面是一些使用例子:

<?
 //整型格式测试
$var = '12345';
var_dump(filter_var($var, FILTER_VALIDATE_INT));
$var = '12B45';
var_dump(filter_var($var, FILTER_VALIDATE_INT));

$var=300;
$int_options = array("options"=>array("min_range"=>0, "max_range"=>256));
var_dump(filter_var($var, <code>FILTER_VALIDATE_INT</code>
, $int_options))

//Email格式测试
$var = 'linvo@126.com';
var_dump(filter_var($var, FILTER_VALIDATE_EMAIL));
$var = 'linvo@126com';
var_dump(filter_var($var, FILTER_VALIDATE_EMAIL));

//IP格式测试
$var = '11.22.33.44';
var_dump(filter_var($var, FILTER_VALIDATE_IP));
$var = '111.222.333.444';
var_dump(filter_var($var, FILTER_VALIDATE_IP));

//URL格式测试
$var = 'http://www.linvo2008.cn/blog';
var_dump(filter_var($var, FILTER_VALIDATE_URL));
$var = 'www.linvo2008.cn/blog';
var_dump(filter_var($var, FILTER_VALIDATE_URL));

//去除超文本标签测试
$var = 'This is a <a href="#" mce_href="#">link</a> test!';
var_dump(filter_var($var, FILTER_SANITIZE_STRING));


大家可以自己运行一下看看结果。另外,对于第三个$options参数,可以对验证类型进行详细设置。比如验证IP时,可以通过该参数设置过滤规则为IPv4还是IPv6:

<?
//IPv6格式测试(支持缩写形式)
$var = '2001:0db8:85a3::1319:8a2e:0370:7344';
var_dump(filter_var($var, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6));


 

其他详细参数见PHP手册。

 

以上是页面内部变量的过滤,但我们希望的是可以直接验证用户输入的数据,这些数据是外部变量过来的,这就用到了filter_input函数:


mixed filter_input ( int $type , string $variable_name [, int $filter [, mixed $options ]] )
从函数原型可以看出,除了原来那三个参数外,多了第一个$type参数。该参数用于设置要过滤变量所在的数组,也就相当于:post方式过来的保存在$_POST数组中;get方式过来的保存在$_GET数组中一样。它也是通过预定义常量进行设置的,如:post对应INPUT_POST,get对应INPUT_GET等。(更多常量见PHP手册)

 

maihuoxin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php mysql防注入字符串过滤_PHP安全,防止SQL注入(输入过滤,输出转义)
weixin_29118723的博客
01-20 182
(1)magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理(2)防止对数字值的SQL注入,如用intval()等函数进行处理(3)mysql_real_escape_string( string ) addslashes(string)以上是利用PHP自带函数来防止SQL注入下面提供一个例子,是在一个页面实现过滤,然后,需要...
整理php防注入和XSS攻击通用过滤 很萌很暴力
牛奔的博客
05-23 7240
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 1....
php参数过滤、数据过滤类.zip
07-11
给大家介绍php参数过滤php数据过滤,包括php提交数据过滤的基本原则,php简单的数据过滤 php提交数据过滤的基本原则 1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。 2)在php.ini开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。 3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。 4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符。  $new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES); strip_tags($text,); 5)对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密
8个很有用的PHP安全函数,你知道几个?
淡忘~浅思
11-16 1338
原文:Useful functions to provide secure PHP application 译文:有用的PHP安全函数 译者:dwqs 安全是编程非常重要的一个方面。在任何一种编程语言,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP有哪些有用的安全函数。 在PHP,有些
phpfilter函数验证、过滤用户输入的数据
10-26
PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤,下面为大家整理了一些,需要的朋友可以了解下
PHP内置过滤FILTER使用实例
10-25
在实际开发,根据项目需求,可以灵活组合使用这些过滤器,确保数据处理的安全性和一致性。记住,尽管FILTERS提供了一套强大的工具,但并不意味着它可以替代所有数据验证策略。在某些情况下,可能还需要配合其他...
PHP Filter过滤器全面解析
10-21
总的来说,PHP Filter过滤器是处理和验证输入数据的关键工具,确保数据安全性和应用的正确运行。了解并熟练使用这些过滤器是编写健壮和安全PHP代码的重要部分。在实际开发,应该始终对所有外部输入数据进行适当的...
php 参数过滤、数据过滤详解
12-18
总的来说,通过这个示例,我们可以了解到在PHP进行参数过滤和数据过滤的重要性,以及如何使用正则表达式和自定义错误处理来实现这一过程。为了保护Web应用程序的安全,开发者应始终对用户输入进行严格的验证和过滤...
php安全过滤函数,php请求参数过滤方法,安全过滤函数和xss过滤函数
weixin_42507868的博客
03-13 166
1、安全过滤函数
php://filter/
小龙在线
09-07 722
php://filterphp独有的一个协议,可以作为一个间流来处理其他流,可以进行任意文件的读取;根据名字filter可以很容易想到这个协议可以用来过滤一些东西。
PHP数据过滤
云烟阁
01-07 2185
1、php提交数据过滤的基本原则  1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。 2)在php.ini开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,pos
php://filter利用条件,浅谈php://filter技巧
weixin_33744799的博客
03-28 1153
php://filterphp://filter可以作为一个间流来处理其他流,具有四个参数:名称描述备注resource=指定了你要筛选过滤的数据流必选read=可以设定一个或多个过滤器名称,以管道符(|)分隔。可选write=可以设定一个或多个过滤器名称,以管道符(|)分隔。可选任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。巧用编码与解码$content ...
php://filter(文件包含漏洞利用)及php://input
Sea_Sand息禅
11-17 5818
1. php://filter 文件包含漏洞:https://blog.csdn.net/fageweiketang/article/details/80699051 筛选过滤应用: 1、 字符串过滤器: string.rot13 对字符串执行ROT13转换 string.toupper转换为大写 string.tolower 转换为小写 string.strip_tags去除...
php://filter的各种过滤
qq_44657899的博客
10-27 8680
文章目录0x01 String Filters 0x01 String Filters 1,string.rot13 string.rot13对字符串执行 ROT13 转换,ROT13 编码简单地使用字母表后面第 13 个字母替换当前字母,同时忽略非字母表的字符。 2,string.toupper string.toupper 将字符串转化为大写 3,string.tolower string.toupper 将字符串转化为小写 4,string.strip_tags string.strip_t
php伪协议语法,php伪协议分析
weixin_28823431的博客
03-10 180
本文大量转载于:https://blog.csdn.net/qq_41289254/article/details/81388343 (感谢博主)一,php:// 访问输入输出流,有两个常用的子协议1,php://filter 设计用来过滤筛选文件使用方法:非php语法文件include失败,直接输出源码内容。php://filter/resource=需要包含的文件还有一种使用方法是:以读的...
php-高级(过滤filter
原小明
08-01 691
1.回顾:上篇学习了 php高级里的错误处理和Exception 2.这篇将要学习 过滤filter 3.Filter 过滤器       3.1了解 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入 3.2 什么过滤器? (1)过滤器用于验证过滤来自非安全来源的数据 (2)验证和过滤用户输入或自定义数据是任何web应用的重要组成部分
php输入post过滤函数
wwppp987的博客
07-25 878
function GLOBAL_POST($str) { $str_origin=$str; if (empty($str)) return false; $str = str_replace( '/', "", $str);//替换关键词 $str = str_replace("\\", "", $str); $str = str_replace(">", "", $st...
php 内容安全过滤代码,PHP安全之数据过滤_PHP
weixin_34820916的博客
03-20 319
在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:确保数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的。关于如何确保数据过滤无法被绕过有各种各样的观点,而其的两种观点比其他更加通用并可提供更高级别的保障。调度方法这种方法是用一个单一的 PHP 脚本调度(通过 UR...
php使用PDO时应当如何过滤用户输入的数据来保证百分之百的安全
最新发布
05-30
使用PDO时,为了保证代码的安全性,需要对用户输入的数据进行过滤和转义。以下是一些常见的过滤和转义方法,可以帮助保证代码的安全性: 1. 使用`filter_var()`函数对用户输入进行过滤,例如使用`FILTER_SANITIZE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值