PHP用正则匹配过滤排除或判断不需要的字符,只保留汉字或其它,防sql盲注攻击

已于 2023-04-19 10:18:22 修改
阅读量662 收藏 1
点赞数
文章标签: PHP用正则匹配 PHP防盲注 PHP判断手机邮箱
于 2023-04-19 10:15:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/viqecel/article/details/130237200
版权

一,比如留言表单输入
,姓名字段只允许提交汉字.其它字符会删除掉.并且字数限制10个字,防止被sql注入攻击.
以,编码为utf-8的
\x{4e00}-\x{9fff}代表utf8编码下的汉字编码范围.

preg_match_all('/[\x{4e00}-\x{9fff}]+/u',$_POST['gsname'], $matches);
$_POST['gsname']= join('', $matches[0]);
if(strlen($_POST['gsname'])>30){
$this->error('单位名不得超过10个汉字!');
}
//电话号码,允许出现短线符号
$_POST['mobile']= preg_replace("/[^0-9\-]/", "",$_POST['mobile']);
if(strlen($_POST['mobile'])>15){
	$this->error('电话不超过15个字符!');
}
//邮箱,只允许输入个别的特殊符号,比如字母,数字.@_等
		$_POST['email']= preg_replace("/[^0-9a-zA-Z\-_@\.]/", "",$_POST['email']);
		if(strlen($_POST['email'])>22){
	$this->error('邮箱不超过22个字符!');
}
//而对于具体的留言内容,则把特定字符直接替换为全角字符,尝试用来防攻击
$_POST['beizhu']=str_replace('%',"%" ,$_POST['beizhu']);
$_POST['beizhu']=str_replace('/',"/" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('\\',"\" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('.',"。" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('>',"﹥" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('<',"<" ,$_POST['beizhu']);;		
$_POST['beizhu']=str_replace('(',"(" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace(')',")" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('&',"&" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('*',"*" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('=',"=" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('\'',"”" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('"',"”" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('--',"—" ,$_POST['beizhu']);;	
$_POST['beizhu']=str_replace('+',"+" ,$_POST['beizhu']);;

二,会员登录合法性判断.会员用邮箱或手机号登录

$name=trim(I('name'));
$pattern = "/(&amp;|&quot;|&lt;|&gt;|\=|\'|\)|\(|\%)+/";//过滤规则
  preg_match($pattern, $name, $matches);
  if($matches){
  echo '<script>alert("输入了非法字符!");self.location="?a=dl"; </script>'; 
  exit;
  
  $flag=M('myuser')->where(" (name='".$name."' and pwd='".$pwd."')  or ( email='".$name."' and pwd='".$pwd."') or (s_tel='".$name."' and  pwd='".$pwd."' )"   )->find();
		//print_r( $flag);exit;
        if($flag){
        //登录成功
        }
  }


//如果登录名是纯数字.可以要求必须输入数字
     $name=I('name');
	if (preg_match("/^\d*$/", $name) && strlen($name)==11 ){
	// 合法,跳过
}else {
   echo '<script>alert("请填11位手机号");self.location="?a=dl"; </script>'; 
   exit;
}
viqecel
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值