PHP 过滤 $_POST 或 $_GET 接收的参数

最新推荐文章于 2024-09-09 18:04:23 发布
最新推荐文章于 2024-09-09 18:04:23 发布
阅读量3.7k 收藏 7
点赞数 1
分类专栏: PHP 文章标签: PHP 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42961790/article/details/91395083
版权

话不多说 先放代码

/************************* 
说明: 判断传递的变量中是否含有非法字符 如$_POST、$_GET 
功能: 防注入 
*************************/
//要过滤的非法字符 
$ArrFiltrate=array("'","or","and","union","where","&","join"); 

//出错后要跳转的url,不填则默认前一页 
$StrGoUrl=""; 

//判断是否存在非法字符
function FunStringExist($StrFiltrate,$ArrFiltrate){ 
	foreach ($ArrFiltrate as $key=>$value){ 
 if (@eregi($value,$StrFiltrate)){   //eregi(规则,被验证字符串) 不区分大小写的正则表达式匹配,该函数只支持php 4,5版本
 	return true; 
    } 
} 
    return false; 
} 

//合并$_POST$_GET 
function merge_P_G($POST,$GET){
     $HTTP_POST_VARS=$POST;
     $HTTP_GET_VARS=$GET;
  foreach($HTTP_POST_VARS as $key=>$value){ 
	$ArrPostAndGet[]=$value; 
 } 
  foreach($HTTP_GET_VARS as $key=>$value){ 
	$ArrPostAndGet[]=$value; 
 } 
       return $ArrPostAndGet;
}

 //验证开始 
$ArrPostAndGet=merge_P_G($_POST,$_GET);
foreach($ArrPostAndGet as $key=>$value){ 

	if (FunStringExist($value,$ArrFiltrate)){ //返回 true 说明含有非法字符串
		if (empty($StrGoUrl)){ 
//让它返回上一步,也可以让它退出登录,还可把本次操作加入日志(该用户非法操作)
			echo "<script language='javascript'>history.go(-1);</script>"; 
		}else{ 
			echo "<script language='javascript'>window.location='".$StrGoUrl."';</script>"; 
		}
		exit; 
	} else{
	//不含有非法字符串,不做操作
		$_GET=$_GET;
		$_POST=$_POST;
	}
} 
/***************结束防止PHP注入*****************/

讲一讲博主为什么要做这个:

起初是因为博主在登录界面发现了一个 bug ,什么 bug 呢?
有个万能用户名竟然能登进博主 OA 系统,什么万能用户名呢?
’or’ 1=1,好像是这,总之它含有 or 字母,我们过滤了or 字母,就可以避免这个 bug 了

*get参数是在 url 里可见的,当我们在 = 后边输入要过滤的非法字符时,也会实现过滤 *

注 : 代码虽不是博主原创,但也是博主精心调试改进的结果,能够解决一个问题,终究是好的结果

monster_end
关注
专栏目录
php中$_GET与$_POST过滤sql注入的方法
01-21
本文实例讲述了php中$_GET与$_POST过滤sql注入的方法,分享给大家供大家参考。具体分析如下: 此函数只能过滤一些敏感的sql命令了,像id=1这种大家还是需要自己简单过滤了。 主要实现代码如下: 复制代码 代码如下:if (!get_magic_quotes_gpc()) { if (!empty($_GET)) { $_GET  = addslashes_deep($_GET); } if (!empty($_POST)) { $_POST = addslashes_deep($_POST); } $_COOKIE   = addslashes_deep($_COOKIE); $
php中$_REQUEST、$_POST、$_GET的区别和联系小结
12-19
PHP编程语言中,`$_REQUEST`、`$_POST` 和 `$_GET` 是三个非常重要的超级全局变量,它们用于处理客户端(通常是...同时,为了代码可读性和维护性,建议明确指定使用 `$_POST` 或 `$_GET`,而非依赖 `$_REQUEST`。
php post过滤,PHP过滤所有$_POST数据
weixin_39946364的博客
03-10 1570
首先假设我们有个form表单,并且以POST的类型把数据提交到服务器,比如接收form表单数据的PHP页面if(is_array($_POST)&&count($_POST)>0){if((isset($_POST[“user”])&&!empty($_POST[“user”]))&&(isset($_POST[“password”])&amp...
PHP小课堂】简单入门PHP中的过滤器相关函数
最新发布
硬核项目经理
09-09 1106
简单入门PHP中的过滤器相关函数一般在业务开发中,我们对于一些参数数据的过滤大部分还是使用传统的 if 以及正则进行判断过滤。但其实 PHP 中也提供了一些过滤器,可以帮助我们方便地进行数据的过滤筛选以及部分替换操作。今天我们就来简单的学习一下这些函数的使用。过滤函数首先还是从代码入手,过滤器这块的参数配置比较丰富,我们不会一一的讲解,只通过例子进行简单的了解即可,更复杂的应用大家可以自行查阅相关...
php中怎么过滤器_PHP Filter过滤器全面解析
weixin_42300121的博客
03-09 333
PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。什么是 PHP 过滤器?PHP 过滤器用于验证和过滤来自非安全来源的数据。验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。设计 PHP过滤器扩展的目的是使数据过滤更轻松快捷。为什么使用过滤器?几乎所有 web 应用程序都依赖外部的输入。这些数据通常来自用户或其他应用程序(比如 web 服务)。通过使用过滤器...
php输入post过滤函数
wwppp987的博客
07-25 901
function GLOBAL_POST($str) { $str_origin=$str; if (empty($str)) return false; $str = str_replace( '/', "", $str);//替换关键词 $str = str_replace("\\", "", $str); $str = str_replace(">", "", $st...
php过滤get数据,PHP过滤post get参数
weixin_30224231的博客
03-10 642
用于过滤post与get传递过来的敏感数据/*** 批量过滤post,get敏感数据* by www.junphp.com*/if (get_magic_quotes_gpc()) {$_GET = stripslashes_array($_GET);$_POST = stripslashes_array($_POST);}function stripslashes_array(&$arr...
PHP利用超级全局变量$_POST接收表单数据的实例
12-18
- `$_REQUEST`:包含了`$_GET`, `$_POST`和`$_COOKIE`中的所有数据,应当谨慎使用,因为它可能引入安全风险。 - `$_SERVER`:包含了服务器和环境信息,如PHP_SELF用于获取当前执行脚本的文件名。 - `$GLOBALS`:访问...
PHP的超级变量$_GET获取HTML表单(Form) 数据
10-28
PHP编程中,`$_GET`是一个超级全局变量,用于接收HTTP请求方法为GET的表单数据。当用户通过HTML表单提交数据时,如果表单的`method`属性设置为`get`,那么这些数据将以URL参数的形式传递,并在服务器端被`$_GET`...
php post和get过滤类,php中$_GET与$_POST过滤sql注入的方法_PHP
weixin_29290947的博客
04-01 360
本文实例讲述了php中$_GET与$_POST过滤sql注入的方法,分享给大家供大家参考。具体分析如下:此函数只能过滤一些敏感的sql命令了,像id=1这种大家还是需要自己简单过滤了。主要实现代码如下:代码如下:if (!get_magic_quotes_gpc()){if (!empty($_GET)){$_GET = addslashes_deep($_GET);}if (!empty($_...
php post和get过滤类,php中$_GET与$_POST过滤sql注入的方法
weixin_39956451的博客
04-01 285
本文实例讲述了php中$_GET与$_POST过滤sql注入的方法,分享给大家供大家参考。具体分析如下:此函数只能过滤一些敏感的sql命令了,像id=1这种大家还是需要自己简单过滤了。主要实现代码如下:复制代码 代码如下:if (!get_magic_quotes_gpc()){if (!empty($_GET)){$_GET = addslashes_deep($_GET);}if (!emp...
PHP接收GET中文参数乱码深入研究
87年的小强
07-24 5247
相信很多PHPer都会遇到这样的问题:在utf-8的页面下面,如果直接访问带有中文参数的地址如test.php?s=测试 这样的地址输出参数的值会乱码,在搜索引擎上查询了下相关资料,都只给出了一些解决方案,但是却没有人研究导致这个问题的原因,今天特写此文来深入这个问题产生的原因:首先我们演示这个问题,测试代码和运行结果如下。代码:测试结果:代码中声明了响应内容的编码为utf-8,显示的内容确实乱码。在这里请注意var_dump出变量的长度只有4 ,很显然,两个中文字的长度在utf-8编码下肯定不止4个字节然
对$_GET、$_POST等外部函数变量的接收过滤
weixin_41897680的博客
01-14 510
/** * 接收输入函数 * array $method 输入的数组(可用字符串get、post表示) * string $name 从数组中取出的变量名 * string $type 表示类型的字符串 * mixed $default 变量不存在时使用的默认值 * @return mixed 返回的结果 */ function input($method,$name,$t...
PHP过滤post,get敏感数据
Feebas
11-23 4085
//php 批量过滤post,get敏感数据 if (get_magic_quotes_gpc()) { $_GET = stripslashes_array($_GET); $_POST = stripslashes_array($_POST); } function stripslashes_array(&$array) { while(list($key,$var) = each($a
php过滤get与post
の原為じ簡單
12-13 342
原文出处:http://www.ttphp.com/a/PHPjiaocheng/2010/0827/285.html  PHP中的代码安全和SQL Injection防范 如何实现自己php代码安全PHP编码的时候,如果考虑到一些比较基本的安全问题,首先一点:1. 初始化你的变量 为什么这么说呢?我们看下面的代码:if ($admin){    echo '登陆成功!';    in...
php自动post系统,php自动过滤POST,GET传参
weixin_39935777的博客
03-11 337
作者:LAMP小白点击:3651发布日期:2012-10-12 00:39:00返回列表首先判断是否自动过滤//加载MioDefenderif(mioCfg_MioDefender)Miodefender::init(mioCfg_MioDefenderInit);安全类代码 配合去html标签就更好了 这里只是基本的实现mio_lt;?phpclass Miodefender{sta...
php过滤get长度,phpPOSTGET数据过滤函数-PHP源码
weixin_39877805的博客
03-25 103
《script》ec(2);《script》foreach(array('_GET','_POST') as $_request) {foreach($$_request as $_key => $_value) {if ($_key{0} != '_') {if (IS_GPC) {$_value = s_array($_value);}$$_key = $_value;}}}functi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值