php的安全函数

最新推荐文章于 2021-03-19 05:59:38 发布
最新推荐文章于 2021-03-19 05:59:38 发布
阅读量555 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29729735/article/details/80707470
版权

设置安全函数,为了方便过滤客户端传输过来的信息,使得系统更加安全。
为了自己的代码写得更加优美,我们要学会学习优秀的开源系统的代码。
以下代码摘自destoon

<?php
/*
    [Destoon B2B System] Copyright (c) 2008-2014 Destoon.COM
    This is NOT a freeware, use is subject to license.txt
*/
defined('IN_DESTOON') or exit('Access Denied');//是否由定义了IN_DESTOON的页面引入
function dhtmlspecialchars($string) {
    if(is_array($string)) {
        return array_map('dhtmlspecialchars', $string);
    } else {
        if(defined('DT_ADMIN')) {
            return str_replace(array('&amp;'), array('&'), htmlspecialchars($string, ENT_QUOTES));
            //ENT_QUOTES –对单引号和双引号进行编码
        } else {
            return str_replace(array('&amp;', '&quot;', '&#34;', '"'), array('&', '', '', ''), htmlspecialchars($string, ENT_QUOTES));
        }
    }
}

function dsafe($string) {
    if(is_array($string)) {
        return array_map('dsafe', $string);
    } else {
        $string = preg_replace("/\<\!\-\-([\s\S]*?)\-\-\>/", "", $string);//过滤注释<!--str-->
        $string = preg_replace("/\/\*([\s\S]*?)\*\//", "", $string);//过滤注释/*str*/
        $string = preg_replace("/&#([a-z0-9]+)([;]*)/i", "", $string);//过滤html十进制字符
        if(preg_match("/&#([a-z0-9]+)([;]*)/i", $string)) return nl2br(strip_tags($string));//剥去html标签以及换行
        $match = array("/s[\s]*c[\s]*r[\s]*i[\s]*p[\s]*t/i","/d[\s]*a[\s]*t[\s]*a[\s]*\:/i","/b[\s]*a[\s]*s[\s]*e/i","/e[\\\]*x[\\\]*p[\\\]*r[\\\]*e[\\\]*s[\\\]*s[\\\]*i[\\\]*o[\\\]*n/i","/i[\\\]*m[\\\]*p[\\\]*o[\\\]*r[\\\]*t/i","/on([a-z]{2,})([\(|\=|\s]+)/i","/about/i","/frame/i","/link/i","/meta/i","/textarea/i","/eval/i","/alert/i","/confirm/i","/prompt/i","/cookie/i","/document/i","/newline/i","/colon/i","/<style/i","/\\\x/i");
        $replace = array("s<em></em>cript","da<em></em>ta:","ba<em></em>se","ex<em></em>pression","im<em></em>port","o<em></em>n\\1\\2","a<em></em>bout","f<em></em>rame","l<em></em>ink","me<em></em>ta","text<em></em>area","e<em></em>val","a<em></em>lert","/con<em></em>firm/i","prom<em></em>pt","coo<em></em>kie","docu<em></em>ment","new<em></em>line","co<em></em>lon","<sty1e","\<em></em>x");
        return preg_replace($match, $replace, $string);//过滤一些字符串script等
    }
}

function strip_sql($string) {//过滤sql关键词&#110对应ascii表的e(十进制是110)
    $match = array("/union/i","/where/i","/outfile/i","/dumpfile/i","/0x([a-z0-9]{2,})/i","/select([\s\S]*?)from/i","/select([\s\*\/\-\(\+@])/i","/update([\s\*\/\-\(\+@])/i","/replace([\s\*\/\-\(\+@])/i","/delete([\s\*\/\-\(\+@])/i","/drop([\s\*\/\-\(\+@])/i","/load_file[\s]*\(/i","/substring[\s]*\(/i","/substr[\s]*\(/i","/left[\s]*\(/i","/concat[\s]*\(/i","/concat_ws[\s]*\(/i","/make_set[\s]*\(/i","/ascii[\s]*\(/i","/hex[\s]*\(/i","/ord[\s]*\(/i","/char[\s]*\(/i");
    $replace = array('unio&#110;','wher&#101;','outfil&#101;','dumpfil&#101;','0&#120;\\1','selec&#116;\\1from','selec&#116;\\1','updat&#101;\\1','replac&#101;\\1','delet&#101;\\1','dro&#112;\\1','load_fil&#101;(','substrin&#103;(','subst&#114;(','lef&#116;(','conca&#116;(','concat_w&#115;(','make_se&#116;(','asci&#105;(','he&#120;(','or&#100;(','cha&#114;(');
    return is_array($string) ? array_map('strip_sql', $string) : preg_replace($match, $replace, $string);
}

function strip_uri($uri) {
    //将十六进制转成中文
    if(strpos($uri, '%') !== false) {
        while($uri != urldecode($uri)) {
            $uri = urldecode($uri);
        }
    }
    //过滤url中<  '  " 0x
    if(strpos($uri, '<') !== false || strpos($uri, "'") !== false || strpos($uri, '"') !== false || strpos($uri, '0x') !== false) {
        dhttp(403, 0);//跳转
        dalert('HTTP 403 Forbidden', DT_PATH);
    }
}

function strip_kw($kw) {
    $kw = htmlspecialchars(trim(urldecode($kw)));//把预定义字符转换为html实体,即把标签等原样输出
    if($kw) {
        if(strpos($kw, '%') !== false) return '';
        $kw = str_replace("'", '', $kw);//过滤单引号
    }
    return $kw;
}

function strip_key($array, $deep = 0) {
    foreach($array as $k=>$v) {
        if($deep && !preg_match("/^[a-z0-9_\-]{1,}$/i", $k)) {
            dhttp(403, 0);
            dalert('HTTP 403 Forbidden', DT_PATH);
        }
        if(is_array($v)) strip_key($v, 1);//递归
    }
}

function strip_str($string, $level = 0) {
    return str_replace(array('\\','"', "'"), array('', '', ''), $string);//过滤 ' "  \
}
?>
kitt15
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP里8个鲜为人知的安全函数分析
10-25
主要介绍了PHP里8个鲜为人知的安全函数,较为详细的分析了addslashes、htmlentities、htmlspecialchars及md5等函数PHP程序设计安全中所起到重要作用,非常具有实用价值,需要的朋友可以参考下
php mysql函数注入_渗透学习笔记之php+ mysql注入(二)
weixin_30811273的博客
01-19 207
1如果权限为root或者比较大的权限,可以尝试跨裤注入,一般适用在站群2php绕过安全机制php安全函数 1 有哪些 2 作用 3 注入时的特征 4 可不可以绕过1. addslashesaddslashes 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。一个使用 addslashes() ...
PHP中的安全函数
weixin_34248705的博客
09-11 91
安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击...
PHP中的危险函数全解析
★昔梦无痕★
08-12 1333
在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。phpinfo()功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。危险等级:中passthru()功
8个很有用的PHP安全函数,你知道几个?
淡忘~浅思
11-16 1358
原文:Useful functions to provide secure PHP application 译文:有用的PHP安全函数 译者:dwqs 安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。 在PHP中,有些
php常用的安全过滤函数集锦
10-25
php常用的安全过滤函数集锦强调了即便在使用框架的情况下,开发人员依然需要了解并掌握一些基础而关键的安全过滤函数。在开发中,虽然框架如Laravel、Symfony等提供了一定程度的安全保障,例如自动过滤输入数据、...
PHP编程函数安全
10-27
PHP编程中,确保函数安全性至关重要,因为不安全函数使用可能会导致一系列严重的安全问题,如SQL注入、跨站脚本攻击(XSS)、路径泄露、远程命令执行等。以下是一些关于PHP编程函数安全的重点: 1. 文件包含...
php 安全过滤函数代码
12-17
PHP安全过滤函数详解】 在PHP开发中,为了防止各种安全威胁,如XSS(跨站脚本攻击)和SQL注入等,我们需要对用户输入的数据进行过滤和清理。以下是一些常用的PHP安全过滤函数示例,它们可以帮助我们保护应用程序...
PHP 8大安全函数
11-26 160
1.mysql_real_escape_string() 这个函数对于在PHP中防止SQL注入攻击很有帮助,它对特殊的字符,像单引号和双引号,加上了“反斜杠”,确保用户的输入在用它去查询以前已经是安全的了。但你要注意你是在连接着数据库的情况下使用这个函数。 但现在mysql_real_escape_string()这个函数基本不用了,所有新的应用开发都应该使用像PDO这样的库对数据...
php 其他页面获取session_PHP的一些安全设置
weixin_39870092的博客
11-21 145
由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患。从配置选项来看,可以做如下的优化。1.屏蔽PHP错误输出。在/etc/php.ini(默认配置文件位置),将如下配置值改为Offdisplay_errors=Off不要将错误堆栈信息直接输出到网页上,防止黑客加以利用相关信息。正确的做法是:把错误日志写到日志文件中,方便排查问题。2.屏蔽PHP版本。默认情况下PHP版本会被显示在返回...
8个常用的PHP安全函数
探索者科技的博客
08-10 1167
安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全函数。今天,我们就来看看,在著名的开源语言PHP中,有哪些有用的安全函数。在PHP中,有些很有用的函数,防止你的网站遭受各种攻击,例如SQL
7个增强 PHP 程序安全函数
u014313075的博客
02-06 511
作为一个合格的PHP程序员,必须要牢记一句格言,那就是“永远不能相信那些用户输入的数据”。在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等。一起看看PHP中常用的确保安全函数(注意,这并不是完整的列表)。 1. addslashes()        这个函数的原理跟mysql_re
PHP安全函数
weixin_30510153的博客
07-04 85
定义和用法 addslashes() addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(') 双引号(") 反斜杠(\) NULL 默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。...
destoon GBK版本dhtmlspecialchars函数 bug
weixin_30741653的博客
03-29 80
由于未做字符集判断,中文字符会出问题。改写之后的函数: function dhtmlspecialchars($string) { $encoding = 'utf-8'; if(DT_CHARSET=='gbk'){ $encoding = 'gb2312'; } if(is_array($string)) { return arra...
php 怎么打开安全函数,PHP安全函数
weixin_35997246的博客
03-19 72
最近读完了《白帽子讲Web安全》一书,觉得在WEB开发中安全是个非常重要的事情,但实际上工程师常抱有侥幸心理,认为这是小概率事件,但是不出事则已,一出事则非常严重,闲话少续,说说PHP中的几个跟安全相关的函数以及可用的方案。 1. addslashes addslashe最近读完了《白帽子讲Web安全》一书,觉得在WEB开发中安全是个非常重要的事情,但实际上工程师常抱有侥幸心理,认为这是小概率事件...
php常用的安全过滤函数
01-04 215
由于越来越多的项目开始使用框架,所以,很多的程序员也不在关心安全的问题!因为框架已经帮我们几乎完美的处理了!但是,个人认为,我们还是需要了解一下常用的安全处理函数! 原因简单:很多小的功能和项目是用不到框架的,我们需要自己解决安全问题! ①常用的安全函数有哪些: mysql_real_escape_string() addslashes() ②这些函数的作用: mysql_real_e
php防止sql注入的自定义函数
ning521513的博客
03-31 788
1.函数的构建       function inject_check($sql_str) {         returneregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$sql_str);    // 进行过滤       }      
PHP安全函数过滤实例
qq_41679358的博客
07-09 856
文章目录htmlentities() 函数htmlspecialchars() 函数str_ireplace() 函数str_replace() 函数strip_tags() 函数 htmlentities() 函数 把字符转换为 HTML 实体 <?php $a = $_GET[fname]; $a1 = htmlentities($a); echo ' <form action="form.php" method="get" align="center"> <h3&
php安全特性函数以及绕过方法
goddemon
12-08 2837
①is_numeric() 作用:检测变量是否为数字或数字字符串 绕方法:16进制会被判断为数字 %00即空格会被判断为非数字–>即直接跳过检测了 绕过方法 如 绕过方法 password=404%00–>即可绕过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kitt15

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值