PHP良好实践 --过滤验证和转义

最新推荐文章于 2021-04-04 03:34:03 发布
最新推荐文章于 2021-04-04 03:34:03 发布
阅读量168 收藏
点赞数
分类专栏: PHP 文章标签: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mu_mu111/article/details/84306234
版权

PHP良好实践 --过滤验证和转义

过滤输入、验证数据、转义输出
  • $_GET
  • $_POST
  • $_REQUETS
  • $_COOKIE
  • $arvg
  • php://stdin
  • php://intput
  • file_get_content()
  • 远程数据库
  • 远程API
  • 来自客户端的数据

过滤输入

  1. HTML 输入过滤
  • 在外部数据到达引用存储层之前,一定要过滤输入数据
  • 使用htmlentities()函数(http://php.net/manual/zh/function.htmlentities.php)过滤html, 把特殊字符转换成对应的HTML实体
    <?php
$input = '<p><script>alert("hello world")</script></p>';
echo htmlentities($input, ENT_QUOTES, 'UTF-8');
输出:
&lt;p&gt;&lt;script&gt;alert(&quot;hello world&quot;)&lt;/script&gt;&lt;/p&gt;
  1. SQL 查询
  • 使用 PDO预处理语句 对SQL进行过滤,防止sql注入
        $dbh = new PDO('mysql:host=localhost;dbname=test', 'root', 'root');

    $stmt = $dbh->prepare("UPDATE LEFT_TABLE SET lname = :lname WHERE lid = :lname");
    $stmt->bindParam(':lid', $lid);
    $stmt->bindParam(':lname', $lname);

    $lid = '10';
    $lname = 'ten";--';
    $stmt->excute();

    $stmt = null;
  1. 用户资料信息
  • filter_var()filter_input() 函数 能够使用不同的的参数过滤不同类型的输入:电子邮件地址、URL编码字符串、整数、浮点数、HTML字符、URL和特定范围内的ASCII字符

验证数据

  • 我们可以使用filter_var() 函数对数据进行验证

转义输出

将数据渲染为网页或者API响应时,一定要转义输出。
可以使用htmlentities()进行转义输出。

lin、666
关注
专栏目录
php过滤所有恶意字符(批量过滤post,get敏感数据)经典
vip_linux的专栏
03-18 1670
最近dedecms报漏洞不断,这里分享下php过滤函数。 函数代码: 复制代码代码如下: //php 批量过滤post,get敏感数据  if (get_magic_quotes_gpc()) {  $_GET = stripslashes_array($_GET);  $_POST = stripslashes_array($_POST);  }  func
php 批量过滤post,get敏感数据
最新发布
qq_39160867的博客
11-14 167
【代码】php 批量过滤post,get敏感数据。
PHP 安全:过滤验证转义
一夜长风的专栏
09-02 7745
PS:来自http://laravelacademy.org/post/4610.html 我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据
php过滤get与post
の原為じ簡單
12-13 340
原文出处:http://www.ttphp.com/a/PHPjiaocheng/2010/0827/285.html  PHP中的代码安全和SQL Injection防范 如何实现自己php代码安全 在PHP编码的时候,如果考虑到一些比较基本的安全问题,首先一点:1. 初始化你的变量 为什么这么说呢?我们看下面的代码:if ($admin){    echo '登陆成功!';    in...
cookie中特殊字符的处理,尤其是等号
Autumn_and_cicadas的博客
10-19 1667
js方法: 通过encodeURIComponent(URIstring)对URL进行编码 decodeURIComponent() 函数可对 encodeURIComponent() 函数编码的 URI 进行解码  
php过滤转移,PHP 安全:过滤验证转义
weixin_29798865的博客
03-28 263
我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源:$_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp://inputfile_get_contents()远程数据库远程API来自客户端的数据所有这些外部源都可能是攻击媒介,可能会(有意或无意)把恶意数据注入PHP脚本。编写接收用户输入然后渲染输出的PHP脚本...
php 密码过滤,PHP实践教程之过滤验证转义与密码详解
weixin_30486717的博客
04-04 279
本文主要给大家介绍的是关于PHP实践过滤验证转义与密码等相关的内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍:一、过滤验证转义1).不要相信任何来自不受自己直接控制的数据源中的数据。包括但不限于:$_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp://inputfile_get_contents()远程数据库远程API来自客...
php 过滤用户url输入,PHP 用户提交数据之过滤验证转义
weixin_42378289的博客
03-11 579
1、过滤输入过滤输入是指转义或删除不安全的字符。在数据到达应用的存储层之前,一定要过滤输入数据,这是第一道防线。假如网站的评论框接受HTML,用户可以随意在评论中加入恶意的标签,如下所示:这篇文章很有用!windows.location.href="http://www.huya.com";如果不过滤这种评论,用户刷新页面的时候就不知道会被定向到什么未知的网。我们可以使用PHP提供的htmlent...
PHP实践教程之过滤验证转义与密码详解
10-19
3. **用户资料信息** 的过滤可以使用 `filter_var()` 和 `filter_input()` 函数,它们能过滤验证各种类型的数据,如邮箱、URL等。 **验证** 数据是确保输入符合预期规则的关键步骤。除了 `filter_var()` 进行基本...
php中filter函数验证过滤用户输入的数据
10-26
PHP过滤器还提供了其他一些功能,比如可以设置自定义的回调函数来进行过滤。通过使用filter扩展提供的API,可以有效地提高Web应用的健壮性和安全性。在实际开发中,开发者应根据实际情况选择合适的过滤器类型,以...
php安全过滤类.zip
07-11
这个"php安全过滤类.zip"文件可能包含了一个自定义的PHP类库,用于对用户提交的数据进行严格的验证和清理,以提升应用程序的安全性。 首先,让我们了解一些基本的安全过滤概念: 1. **SQL注入**:这是一种攻击方式...
php安全 过滤验证转义
fareast_mzh的博客
07-17 730
不要相信外部源 $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据库 远程api 来自客户端的数据 htmlentities    1 <?php 2 $input = '<p><script>alert("Yo...
使用bcrypt计算密码哈希值
进击的极客的博客
12-31 2627
我们应该计算密码的哈希值而不是加密他,加密是双向算法,而哈希是单项算法 目前公认的最安全的哈希算法是bcrypt 开发web应用时,会在两处地方用到密码哈希API:注册和登录用户,以下为操作代码。 /** * 注册用户时 计算密码哈希值 * 密码的哈希值应存储在VARCHAR(255)类型的数据库列中。便于以后存储比现在的bcrypt算法得到的哈希值更长的密码 * @param stri...
PHP引用变量知识详解
进击的极客的博客
04-28 976
概念:在PHP中引用意味着用不同的名字访问同一个变量内容; 定义方式:PHP使用 ‘&amp;’定义引用变量; 当不使用引用时,变量采取写时复制机制机制(COW):在写入时会复制一份内存进行修改,例如 //定义一个变量 $a = range(0,1000); var_dump(memory_get_usage()); //打印内存使用量 //定义一个变量b $b =...
PHP实现分页浏览功能
进击的极客的博客
06-16 610
PHP分页功能代码 入门级代码 <? class pages { function __construct(){ header("Content-Type:text/html;charset:utf-8;"); } /* 方法名: db_select 说明 : 执行数据库连接以及sql查询 返回值 ; 查询所得结果集 */ public function db_select($sq
PHP字符串定义方式及各自区别
进击的极客的博客
05-01 607
单引号:         单引号不能解析变量        单引号不能解析转义字符,只能解析单引号和反斜线本身        变量和变量、变量和字符串、字符串和字符串之间可以用  . 连接双引号        双引号可以解析变量,变量可以使用特殊字符和{}包含        双引号可以解析所有转义字符                变量和变量、变量和字符串、字符串和字符串之间可以用  . 连接  ...
Centos 7.4 搭建LNMP
进击的极客的博客
06-26 566
环境:阿里云Centos 7.4 镜像  selinux 与 firewall 已关闭。参考了https://blog.csdn.net/zjiang1994/article/details/72876193与https://blog.csdn.net/wszll_alex/article/details/76285324的文章1.安装nginx1.1 下载下载合适版本的nginx包wget ht...
PHP引用考点面试真题
进击的极客的博客
04-28 291
//写出如下程序的输出结果 $data = ['a','b','c']; foreach($data as $key =&gt; $val) { $val = &amp;$data[$key]; } 程序运行时,每一次循环结束后变量的$data 的值是什么?请解释 程序运行完成后变量$data的值是什么?请解释第一次循环$k = 0 , $v = a, $v = &amp;data[...
OOP 相关知识的复习
进击的极客的博客
09-17 258
  OOP 相关知识的复习 1.OOP真正的价值在于封装 2.构造函数 __construct()    析构函数 __destruct()   3.静态属性和静态方法: 1)静态属性是属于类的变量而不属于对象 2)静态方法中不能引用this关键字 静态方法使用 :: 调用 如Courier::getSomething() 4.命名空间 1)从PHP5.3开始支持命名空间 2...
PHP表单验证方案:wm-validate-5.x的实践应用
2. 过滤用户输入:在进行任何验证之前,应该先对用户输入进行清理,去除不必要的字符,转义特殊字符以防止注入攻击。 3. 执行验证检查:根据预设的规则对清理后的数据进行验证。如果数据不符合规则,则应返回错误...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值