php对数据进行过滤输出

最新推荐文章于 2024-04-29 00:15:00 发布
最新推荐文章于 2024-04-29 00:15:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrtwenty/article/details/97925620
版权

      为了避免跨站脚本攻击、xss等安全问题,yii框架对输出到视图层的数据提供了一些方法供我们使用,例如 Html::encode、HtmlPurifier::process,研究了下yii框架的源码,将其抽取出来,作为一个小组件,记起来,以后可以单独使用:

1、首先是 Html::encode ,是使用php的原生函数htmlspecialchars,我们跟着模仿一个:

<?php
class Html
{
    public static function encode($content, $doubleEncode = true)
    {
        return htmlspecialchars($content, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8', $doubleEncode);
    }
}

2、然后是HtmlPurifier::process,引用了这个 htmlpurifier 包,我们先安装起来,

composer require ezyang/htmlpurifier

然后原先的Html类里面,添加一个静态方法,这样Html类就变成了这样:

<?php
class Html
{
    public static function encode($content, $doubleEncode = true)
    {
        return htmlspecialchars($content, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8', $doubleEncode);
    }

    public static function process($content, $config = null)
    {
        $purifier = HTMLPurifier::instance($config);
        return $purifier->purify($content);
    }
}

3、最后就是使用测试了,编写一个index.php

目录结构如下:

<?php
require './vendor/autoload.php';
require './Html.php';

$html = <<<EOF
    <a href="tes.php" onclick="alert(1)" title="hehe">测试</a>
    <p>test</p><br>
    <img src="1.jpg" alt="">
    <script>
        alert(1);
    </script>
EOF;

echo Html::encode($html);
echo "<hr>";

$clean_html = Html::process($html);
echo $clean_html;
echo "<hr>";

$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'br,a[href|title]'); //只是保留标签br和a,a标签的属性href和title保留
$clean_html = Html::process($html, $config);

echo $clean_html;

ok,完毕,最后在说明下这两个静态方法的应用场景:

要显示纯文本信息,那就使用: Html::encode方法,

要显示html内容,那就使用:   Html::process方法。

至于htmlpurifier包,更多的功能,可以查看官方文档

mrtwenty
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Filter php自带过滤函数
zhyke
08-29 1227
PHP Filter 简介 PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。 是一个很有用的方法,但是自己用的很少.所以专门记录下.以后可以用 基本知识 INPUT_xxx : 这种表示的是你要校验的参数是从哪里获得的.比如INPUT_GET,那么方法就会从$_GET中取对应的变量值进行校验 INPUT_XXX : INPUT_GET INPUT_PO...
PHP 过滤器,用于对输入和输出数据进行验证和过滤.md
最新发布
06-13
PHP 提供了过滤器(Filter)扩展,用于对输入和输出数据进行验证和过滤过滤器可以帮助您清理用户输入、防止跨站脚本攻击(XSS)和其他安全漏洞,并确保数据的完整性和准确性。 PHP 过滤器扩展提供了一组预定义的...
php经常用到的数据过滤的方法
08-14 672
php经常用到的数据过滤的方法
PHP系列」PHP 过滤
日常笔记/总结/系列知识梳理
04-29 821
过滤器可以帮助您清理用户输入、防止跨站脚本攻击(XSS)和其他安全漏洞,并确保数据的完整性和准确性。函数结合使用,根据您的需求进行数据的验证和清理。请注意,过滤器并非万能的,它们主要用于基础的数据验证和清理,而不是用于替代其他安全措施,如输入验证和输出编码。PHP 过滤器扩展提供了一组预定义的过滤器,您可以使用它们来执行常见的验证和过滤任务。这些函数接受要过滤数据过滤器的类型作为参数,并返回经过过滤或验证后的数据。函数来执行过滤操作。该函数接受两个参数:要过滤的值和要应用的过滤器的标识符。
PHP过滤输出内容
Mradxz的专栏
01-18 992
//输出内容进行转义 function _htmlspecialchars($array){ if(is_string($array)){ return htmlspecialchars($array); } foreach($array as $k=>$v) { if(is_string($v)) { //如果是字符串,则直接转义 $sla
php 输出标准数据,如何对PHP的标准输出数据进行过滤
weixin_34725745的博客
03-11 132
是否可以以类似流的方式过滤PHP标准输出数据:standard output ⟶ output filter ⟶ standard output我已经知道了ob_start.但我不想一次处理整个输出,而是使用php_user_filter或类似的东西以流式方式处理.解决方法:我不太明白这是为了什么,但是没有理由不发表答案.您可以使用ob_start()回调并让它处理部分内容.您所要做的就...
php过滤搜索内容mysql并显示,php 数据库内容搜索(搜索指定内容并输出)_PHP教程...
weixin_35545782的博客
03-10 201
实现原理很简单就是根据用户提交的数据到mysql数据表中查询是否有相同的,有就输出没有就不操作了。这是一款简单的记录搜索代码。php教程 数据库教程内容搜索(搜索指定内容并输出)/*首先我们来创建搜索数据表create table if not exists `search` (`id` int(4) not null auto_increment,`keyword` varchar(500) n...
PHP数据过滤的方法
01-20
这包含检验输入到应用的数据以及从应用输出数据,而一个好的软件设计可以帮助开发人员做到:确保数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的来源。关于如何确保数据过滤无法被绕过有...
php判断文件上传类型及过滤不安全数据的方法
10-25
// 对$_COOKIE、$_POST、$_GET中的数据进行过滤 $_COOKIE = s_addslashes($_COOKIE); $_POST = s_addslashes($_POST); $_GET = s_addslashes($_GET); ``` 除了使用`addslashes()`,还可以使用`htmlspecialchars()`...
php过滤HTML代码的函数
10-30
本文将深入探讨如何使用PHP函数来过滤和编码HTML,以确保用户输入的数据不会破坏网页结构或执行恶意代码。 首先,我们要明白XSS攻击的基本原理。XSS攻击是通过在网页上注入恶意的HTML、JavaScript或者其他可执行...
一个php过滤非法字符类
05-03
2. **参数检查**:在处理用户输入之前,类可能会对参数进行类型检查、长度检查等,确保输入符合预期的格式。例如,如果预期接收的是整数,但用户提供了字符串,那么类将拒绝该输入。 3. **日志记录**:当检测到非法...
php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别
weixin_33806509的博客
09-29 208
原文地址:http://www.manongjc.com/article/1103.html 先来看一下htmlspecialchars函数和strip_tags函数的使用实例: <?php $str="<a href='http://www.manongjc.com'>码农教程'\"</a>"; echo htmlspecialc...
php输出过滤后的字符串,php过滤字符串函数示例
weixin_39836536的博客
03-12 191
class request{public function __construct(){if(!get_magic_quotes_gpc()){if(!empty($_POST)){foreach ($_POST as $k => &$v){if(is_array($v)){@array_walk($v, 'urldecode');@array_walk($v, 'addslash...
php有没有过滤器,php 过滤器实现代码
weixin_29592699的博客
03-10 112
在以前,一个用户通过网络主要是获取信息。而如今的网络刚更注重与用户的交互,用户不再仅仅是网站的浏览者,也是网站内容的制造者。由以前单纯的“读”向“写”以及“共同创作”发展,由被动接收信息向主动分行信息发展。而随之而来的安全问题也成了web开发者不可忽视的问题,验证第三方来源的数据成了每个web程序必不可少的功能。在以前,PHP需要验证数据,一般都是程序员自己通过正则表达式实现,而从PHP从5.2开...
php数据过滤方法,PHP数据过滤的方法
weixin_39710041的博客
03-24 234
在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出数据,而一个好的软件设计可以帮助开发人员做到:确保数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的来源。关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。调度方法这种方法是用一个单一的 php 脚本调度(通...
php对表单提交的字符串过滤处理
weixin_43947156的博客
04-15 442
[php] //过滤参数 function addslashes_deep(KaTeX parse error: Expected '}', got 'EOF' at end of input: … if (empty(value)){ return KaTeX parse error: Expected 'EOF', got '}' at position 12: value; ...
Yii框架安全笔记
liuzp111的专栏
11-21 2647
XSS攻击认识XSSXSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。XSS攻击类似于SQL
Yii-CHtmlPurifier- 净化器的使用(yii过滤不良代码)
dreamzml的专栏
11-25 5346
在控制器中使用:public function actionCreate() { $model=new News; $purifier = new CHtmlPurifier(); $purifier->options = array( 'URI.AllowedSchemes'=>array( 'http' => true, 'https' => tr
php 过滤表单数据,防止sql 注入代码
05-27
以下是一个简单的 PHP 代码示例,用于过滤表单数据并防止 SQL 注入攻击: ``` // 获取用户提交的表单数据 $name = $_POST['name']; $email = $_POST['email']; $message = $_POST['message']; // 过滤用户输入数据 $name = filter_var($name, FILTER_SANITIZE_STRING); $email = filter_var($email, FILTER_SANITIZE_EMAIL); $message = filter_var($message, FILTER_SANITIZE_STRING); // 建立数据库连接 $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "myDB"; $conn = new mysqli($servername, $username, $password, $dbname); // 检查连接是否成功 if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); } // 使用参数化查询和预处理语句构造 SQL 查询语句 $stmt = $conn->prepare("INSERT INTO messages (name, email, message) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $name, $email, $message); $stmt->execute(); // 输出提示信息 echo "留言提交成功!"; // 关闭连接 $stmt->close(); $conn->close(); ``` 在上面的代码中,我们使用了 filter_var 函数对用户提交的表单数据进行过滤,以避免 SQL 注入攻击。然后我们使用参数化查询和预处理语句构造了一个插入数据的 SQL 查询语句,将过滤后的数据插入数据库中。最后我们输出一个提示信息,并关闭数据库连接。请注意,上面的代码仅供参考,实际情况下应根据具体需求进行相应的修改和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值