php过滤特殊危险字符的总结

最新推荐文章于 2021-03-25 19:28:09 发布
最新推荐文章于 2021-03-25 19:28:09 发布
阅读量875 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mailangel123/article/details/39293279
版权
一般,对于传进来的字符, php教程可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求
比如这样


 代码如下 复制代码 
if (!get_magic_quotes_gpc()) {     
     add_slashes($_GET);     
     add_slashes($_POST);     
     add_slashes($_COOKIE);     
}     
     
function add_slashes($string) {     
     if (is_array($string)) {     
         foreach ($string as $key => $value) {     
             $string[$key] = add_slashes($value);     
         }     
     } else {     
         $string = addslashes($string);     
     }     
     return $string;     
}
 


但是还可以更进一步进行重新编码,解码,如下:


 代码如下 复制代码 
//编码


function htmlencode($str) {      
      if(empty($str)) return; 
      if($str=="") return $str;       
      $str=trim($str); 
      $str=str_replace("&","&",$str); 
      $str=str_replace(">",">",$str); 
      $str=str_replace("<","<",$str); 
      $str=str_replace(chr(32)," ",$str); 
      $str=str_replace(chr(9)," ",$str); 
      $str=str_replace(chr(34),"&",$str); 
      $str=str_replace(chr(39),"'",$str); 
      $str=str_replace(chr(13),"<br />",$str); 
      $str=str_replace("'","''",$str); 
      $str=str_replace("select","select",$str); 
      $str=str_replace("join","join",$str); 
      $str=str_replace("union","union",$str); 
      $str=str_replace("where","where",$str); 
      $str=str_replace("insert","insert",$str); 
      $str=str_replace("delete","delete",$str); 
      $str=str_replace("update","update",$str); 
      $str=str_replace("like","like",$str); 
      $str=str_replace("drop","drop",$str); 
      $str=str_replace("create","create",$str); 
      $str=str_replace("modify","modify",$str); 
      $str=str_replace("rename","rename",$str); 
      $str=str_replace("alter","alter",$str); 
      $str=str_replace("cast","cas",$str);       
      return $str;  
}
 


这样就能更放心的对外来数据进行入库处理了, 但是从数据库取出来,在前台显示的时候,必须重新解码一下:


 代码如下 复制代码 
//解码


function htmldecode($str) {      
      if(empty($str)) return; 
      if($str=="")  return $str; 
      $str=str_replace("select","select",$str); 
      $str=str_replace("join","join",$str); 
      $str=str_replace("union","union",$str); 
      $str=str_replace("where","where",$str); 
      $str=str_replace("insert","insert",$str); 
      $str=str_replace("delete","delete",$str); 
      $str=str_replace("update","update",$str); 
      $str=str_replace("like","like",$str); 
      $str=str_replace("drop","drop",$str); 
      $str=str_replace("create","create",$str); 
      $str=str_replace((www.111cn.net)"modify","modify",$str); 
      $str=str_replace("rename","rename",$str); 
      $str=str_replace("alter","alter",$str); 
      $str=str_replace("cas","cast",$str); 
      $str=str_replace("&","&",$str); 
      $str=str_replace(">",">",$str); 
      $str=str_replace("<","<",$str); 
      $str=str_replace(" ",chr(32),$str); 
      $str=str_replace(" ",chr(9),$str); 
      $str=str_replace("&",chr(34),$str); 
      $str=str_replace("'",chr(39),$str); 
      $str=str_replace("<br />",chr(13),$str); 
      $str=str_replace("''","'",$str);       
      return $str; 
}
 


虽然多了一步编码,解码的过程,但是安全方面,会更进一步,要如何做,自己取舍吧。


再附一些


 代码如下 复制代码 
function safe_replace($string) {
 $string = str_replace(' ','',$string);
 $string = str_replace(''','',$string);
 $string = str_replace(''','',$string);
 $string = str_replace('*','',$string);
 $string = str_replace('"','"',$string);
 $string = str_replace("'",'',$string);
 $string = str_replace('"','',$string);
 $string = str_replace(';','',$string);
 $string = str_replace('<','<',$string);
 $string = str_replace('>','>',$string);
 $string = str_replace("{",'',$string);
 $string = str_replace('}','',$string);
 return $string;
}
 


更全面的


 代码如下 复制代码 
//处理提交的数据 
function htmldecode($str) { 
 if (empty ( $str ) || "" == $str) { 
 return ""; 
 } 
  
 $str = strip_tags ( $str ); 
 $str = htmlspecialchars ( $str ); 
 $str = nl2br ( $str ); 
 $str = str_replace ( "?", "", $str ); 
 $str = str_replace ( "*", "", $str ); 
 $str = str_replace ( "!", "", $str ); 
 $str = str_replace ( "~", "", $str ); 
 $str = str_replace ( "$", "", $str ); 
 $str = str_replace ( "%", "", $str ); 
 $str = str_replace ( "^", "", $str ); 
 $str = str_replace ( "^", "", $str ); 
 $str = str_replace ( "select", "", $str ); 
 $str = str_replace ( "join", "", $str ); 
 $str = str_replace ( "union", "", $str ); 
 $str = str_replace ( "where", "", $str ); 
 $str = str_replace ( "insert", "", $str ); 
 $str = str_replace ( "delete", "", $str ); 
 $str = str_replace ( "update", "", $str ); 
 $str = str_replace ( "like", "", $str ); 
 $str = str_replace ( "drop", "", $str ); 
 $str = str_replace ( "create", "", $str ); 
 $str = str_replace ( "modify", "", $str ); 
 $str = str_replace ( "rename", "", $str ); 
 $str = str_replace ( "alter", "", $str ); 
 $str = str_replace ( "cast", "", $str ); 
  
 $farr = array ("//s+/", //过滤多余的空白 
"/<(//?)(img|script|i?frame|style|html|body|title|link|meta|/?|/%)([^>]*?)>/isU", //过滤 <script 防止引入恶意内容或恶意代码,如果不需要插入flash等,还可以加入<object的过滤 
"/(<[^>]*)on[a-zA-Z]+/s*=([^>]*>)/isU" )//过滤javascript的on事件 

 $tarr = array (" ", "", //如果要直接清除不安全的标签,这里可以留空 
"" ); 
 return $str; 
}
 
from: http://www.111cn.net/phper/phpanqn/55876.htm
mailangel123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 字符串安全过滤_PHP针对Xss跨域攻击以及sql注入等危险字符过滤安全模块...
weixin_29179311的博客
03-09 327
由于该模块在项目中的要求是 不能提示任何信息,也不作断点操作,只作记录并且过滤危险参数。主要功能:拦截攻击者注入恶意代码,可以防御诸如跨站脚本攻击(XSS)、SQL注入攻击等恶意攻击行为。/*** 安全模块* Email:zhangyuan@tieyou.com* 主要针对xss跨站攻击、sql注入等敏感字符串进行过滤* @author hkshadow*/class safeMode{/*** ...
C#实现过滤sql特殊字符的方法集合
09-03
主要介绍了C#实现过滤sql特殊字符的方法,以实例形式分析总结了C#针对SQL危险字符的几种常用的过滤技巧,非常具有实用价值,需要的朋友可以参考下
php中url传递中文字符,特殊危险字符的解决方法
12-18
我们需要在url中传递中文字符或是其它的html等特殊字符,似乎总会有各种乱,不同的浏览器对他们的编码又不一样, 对于中文,一般的做法是: 把这些文本字符串传给url之前,先进行urlencode($text)一下; 但是对于一些很“危险”的字符,比如说html字符,甚至是SQL注入相关的字符,如果很明显的传给系统,出于安全考虑,系统一般都会把它们过滤掉的。 现在,我们需要这些危险字符,该这么办? 我想到的办法是 先给它们 base64_encode($text) 编码,到服务端时,又给它们 base64_decode($text) 解码, 貌似很完美,但是在使用的过程中又遇到一个问题,bas
php 过滤危险字符,php过滤特殊危险字符总结
weixin_33751873的博客
03-11 131
一般,对于传进来的字符php教程可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求比如这样代码如下 复制代码if (!get_magic_quotes_gpc()) {add_slashes($_GET);add_slashes($_POST);add_slashes($_COOKIE);}fun...
php过滤危险字符,php过滤特殊危险字符总结_PHP教程
weixin_31178795的博客
03-09 468
在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,希望此教程对各位有帮助。一般,对于传进来的字符php可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求比如这样代码如下复制代码if (!get_magic_quotes_gpc()) {...
PHP剔除删除掉危险字符
weixin_34302798的博客
09-12 141
本文出至:新太潮流网络博客 /** * [剔除掉危险字符] * @E-mial wuliqiang_aa@163.com * @TIME 2017-04-07 * @WEB http://blog.iinu.com.cn * @param [数据] $val [要处理的数据] * @return [type] [description] */ ...
php过滤危险字符,php过滤特殊危险字符总结
weixin_39609483的博客
03-09 376
在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,一般,对于传进来的字符php可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求,比如这样,代码如下:if (!get_magic_quotes_gpc()) {add_slashes($...
js中过滤特殊字符的正则表达式
10-28
js中用正则表达式 过滤特殊字符 ,校验所有输入域是否含有特殊符号
C#检测是否有危险字符的SQL字符过滤方法
09-04
主要介绍了C#检测是否有危险字符的SQL字符过滤方法,功能非常实用,对于程序设计的安全来说至关重要!需要的朋友可以参考下
PHP对表单提交特殊字符过滤和处理方法汇总
10-26
本篇文章主要是对PHP对表单提交特殊字符过滤和处理方法进行了总结介绍,需要的朋友可以过来参考下,希望对大家有所帮助
php过滤危险html代码
02-07
<? function uh($str) { $farr = array( "/\s+/", //过滤多余的空白 "/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU", //过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤 "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU", //过滤javascript的on事件 ); $tarr = array( " ", "<\\1\\2\\3>", //如果要直接清除不安全的标签,这里可以留空 "\\1\\2", ); $str = preg_replace( $farr,$tarr,$str); return $str; } ?>
php表单敏感字符过滤代码类.zip
07-11
介绍一个php表单敏感字符过滤代码类,输出表单函数,检测数组是否存在,生成表单函数,提交数据检测,提交信息检测,多选类表单生成,表单验证及全部。
php 字符串安全过滤 全攻略
树蛙PHPER
04-16 2827
<?php if (!get_magic_quotes_gpc()) { add_slashes($_GET); add_slashes($_POST); add_slashes($_COOKIE); } function add_slashes($string) { if (is_a
php 过滤多个字符,php过滤form表单提交危险字符几个代码
weixin_39687422的博客
03-25 163
//php过滤form表单提交危险字符//处理提交的数据functionhtmldecode($str){if(empty($str)||""==$str){return"";}$str=strip_tags($str);$str=htmlspecialchars($str);$str=nl2br($str);$str=str_repla...
PHP过滤指定字符串,过滤危险字符
axfcjwkbi259888707的博客
07-27 495
安全过滤函数,用于过滤危险字符 function safe_replace($string) { $string = str_replace(' ','',$string); $string = str_replace(''','',$string); $string = str_replace(''','',$string); $string ...
过滤危险字符
weixin_33725272的博客
01-09 130
string regEx = "[`~!@#$%^&*()-+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?•]"; string result = Regex.Replace(name, regEx, ""); 转载于:https://www.cnblogs.com/zwei1121/p/3...
php: 中文字符串- 危险字符串处理
zwn_software的博客
11-25 145
在编辑php时常遇到中文乱码问题。在此将 php在处理中文时,视为 “危险字符串” 避免 中文乱码的方法:    1. 将中文字符进行转码。通过: iconv 或 mb_convert_encoding 两个方法中的一个对字符串进行编码处理。    2. 将中文字符串进行替换,将中文替换为其它字符串:例如以下方法,将中文替换为 下划线 "_" function replace_danger...
php正则过滤特殊字符
最新发布
05-25
可以使用正则表达式中的字符类来匹配特殊字符,下面是一个例子: ```php $str = "Hello, <script>alert('world');</script>!"; $filtered_str = preg_replace('/[^a-zA-Z0-9]/', '', $str); echo $filtered_str; // 输出:Helloalertworld ``` 上面的代码使用了 preg_replace 函数,将字符串中所有非字母和数字的字符替换为空字符串。正则表达式 `[^a-zA-Z0-9]` 表示匹配任何不是字母和数字的字符

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值