filter_var()函数

最新推荐文章于 2023-09-04 12:32:21 发布
最新推荐文章于 2023-09-04 12:32:21 发布
阅读量152 收藏
点赞数
文章标签: javascript php ViewUI
原文链接:http://www.cnblogs.com/NBeveryday/p/11301874.html
版权

 

我们使用 payload :?url=javascript://comment%250aalert(1) ,可以执行 alert 函数:

实际上,这里的 // 在JavaScript中表示单行注释,所以后面的内容均为注释,那为什么会执行 alert 函数呢?那是因为我们这里用了字符 %0a ,该字符为换行符,所以 alert 语句与注释符 // 就不在同一行,就能执行。当然,这里我们要对 % 百分号编码成 %25 ,因为程序将浏览器发来的payload:javascript://comment%250aalert(1) 先解码成: javascript://comment%0aalert(1) 存储在变量 $url 中(上图第二行代码),然后用户点击a标签链接就会触发 alert 函数。

 

 

 

返回值 ¶

Returns the filtered data, or FALSE if the filter fails.

 

filter_var : (PHP 5 >= 5.2.0, PHP 7)

功能 :使用特定的过滤器过滤一个变量

定义 :mixed filter_var ( mixed $variable [, int $filter = FILTER_DEFAULT [, mixed $options ]] )

针对这两处的过滤,我们可以考虑使用 javascript伪协议 来绕过。为了让大家更好理解,请看下面的demo代码

 

htmlspecialchars :(PHP 4, PHP 5, PHP 7)

功能 :将特殊字符转换为 HTML 实体

定义 :string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string$encoding= ini_get("default_charset") [, bool $double_encode = TRUE ]]] )

& (& 符号)  ===============  &amp; " (双引号) =============== &quot; ' (单引号) =============== &apos; < (小于号) =============== &lt; > (大于号) =============== &gt;

参考:[红日安全]代码审计Day2 - filter_var函数缺陷 - 先知社区 https://xz.aliyun.com/t/2457

转载于:https://www.cnblogs.com/NBeveryday/p/11301874.html

weixin_30897079
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP filter_var() 函数 Filter 函数
fafa211的专栏
12-22 3022
定义和用法filter_var() 函数通过指定的过滤器过滤变量。如果成功,则返回已过滤的数据,如果失败,则返回 false。语法filter_var(variable, filter, options)参数描述variable必需。规定要过滤的变量。filter可选。规定要使用的过滤器的 ID。options规定
php filter var,PHP filter_var()函数
weixin_33245968的博客
03-10 447
PHP中,filter_var()函数会使用指定的过滤器来过滤变量;它可以过滤用户传递来的数据。PHP filter_var()函数filter_var()函数使用指定的过滤器来过滤变量;它可用于验证和过滤数据。基本语法filter_var(var,filtername,options)参数:filter_var()函数接受三个参数var:表示要过滤的变量,不可省略(必填参数)。filterna...
filter_var() 验证邮箱、ip、url的格式 php
白俊遥的博客
04-04 4121
验证邮箱格式的正确与否;你的第一解决方案是什么呢? 不管你们怎么思考的;反正我首先想到的就是字符串查找看是否有@符号; 但是对于结尾的.com或者.net 亦或者.cn等等越来越多的域名验证感觉棘手; 直到了某一天认真的研究了filter_var()函数的参数; 我对以前走马观花式的阅读php文档表示深深的惭愧; 其实filter_var()第二个参数传FILTER_VALIDATE
filter_var() 函数
冷月醉雪的博客
03-04 944
查看更多 https://www.yuque.com/docs/share/14d8d954-d003-4cd7-832d-9d0910ed036e
php filter_var 正则,PHP filter_var() 函数 Filter 函数
weixin_39620334的博客
03-10 181
php 里面 filter 函数是一个函数系列的统称,filter 系列函数里面包括 filter_var 函数filter 系列函数PHP 核心的组成部分。无需安装即可使用这些函数。他主要用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。而这里面 filter_var() 函数则主要是通过指定的过滤器来过滤变量。PHP Filter 函数PHP:指示支持该函数的最早的 PHP 版本...
php使用filter_var函数判断邮箱,url,ip格式示例
10-16
在本文中,我们将深入探讨 `filter_var` 函数如何用于判断邮箱、URL 和 IP 地址的格式。 ### filter_var 函数的语法 `filter_var` 的基本语法如下: ```php filter_var($variable, $filter, $options = null); ``...
phpfilter_input函数用法分析
10-25
例如,如代码所示,`filter_var`在验证布尔值时,`'abc'`和`'0'`都被认为是无效的布尔值,返回`false`。因此,理解每个过滤器的行为至关重要。 ### 安全性考虑 不正确地处理用户输入是许多Web应用程序安全问题的...
PHP filter_var() 函数
aigoleague的专栏
09-21 489
定义和用法 filter_var() 函数通过指定的过滤器过滤变量。 如果成功,则返回已过滤的数据,如果失败,则返回 false。 filter_var(variable, filter, options) variable     必需。规定要过滤的变量。 filter     可选。规定要使用的过滤器的 ID。 options     规定包含标志/选项的数组。检查每个过滤器可能的
php filter_var函数用法,【php】用filter_var实现的简单参数验证
weixin_35253106的博客
03-11 234
filter_var是在php5.2.0中开始提供的。详细说明见:先看看代码:
PHP Filter 函数
weixin_30470643的博客
06-08 109
PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。 filter 函数PHP 核心的组成部分。无需安装即可使用这些函数FILTER_CALLBACK 调用用户自定义函数来过滤数据。 FILTER_SANITIZE_STRING 去除标签,去除或编码特殊字符。 FILTER_SANITIZE_STRIPPED "string" 过滤器的别名...
php开启filtervar_PHP函数filter_var的使用
weixin_39606137的博客
12-21 432
一、概述PHP中的filter_varfilter_var_array函数,主要是做来做验证的。提到这两个函数,就需要了解一下PHP的过滤器。如下:There are two main types of filtering: validationand sanitization.Validationis used to validate or check if the data meets ce...
代码审计——filter_var函数
negnegil的博客
06-11 1205
这里写目录标题红日安全代码审计——day2源码分析linux下的利用windows下的利用 红日安全代码审计——day2 原项目地址: https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day2/files/README.md 本文是对day2课后习题的解题及学习 // index.php <?php $url = $_GET['url']; if(isset($url) && filter_var($url,
filter_var — 使用特定的过滤器过滤一个变量
m0_37477061的博客
03-05 263
http://php.net/manual/zh/function.filter-var.php
php开启filtervar_PHP filter_var()函数过滤
weixin_35019131的博客
01-28 306
PHP filter_var()函数过滤检测一个数字是否在一个范围内。以下实例使用了 filter_var() 函数来检测一个 INT 型的变量是否在 1 到 200 内:实例$int = 122;$min = 1;$max = 200;if (filter_var($int, FILTER_VALIDATE_INT, array("options" => array("min_ran...
PHPfilter_var()函数是干什么的?底层原理是什么?
最新发布
长风破浪会有时的博客
09-04 294
这些底层函数使用预定义的过滤器类型和选项来检查输入数据是否符合指定的格式和规则,并返回过滤后的结果或验证结果。函数是一个用于过滤和验证数据的内置函数。它可以根据给定的过滤器类型和选项对数据进行过滤和验证,并返回过滤后的结果或验证结果。参数是指定的过滤器类型,可以是预定义的过滤器类型或自定义的回调函数;参数是需要过滤或验证的数据,可以是字符串、数组或对象;参数是指定的过滤器选项,可以是可选的数组参数。函数通过调用这些底层函数来实现数据过滤和验证。函数的底层原理是通过调用C语言实现的底层函数
filter_var函数缺陷(原理+实践)
叶子的Blog
11-09 1210
函数缺陷原理 先看一段代码 这段代码的逻辑大概是这个样子: 这个代码的类中有render()方法,其中render方法在index.html网页上输出了一个链接,这个过程是通过模板实现的,模板首先通过了escape方法进行过滤,其中链接的参数是通过getNexSlideUrl()获得的,往上看这个函数,这个函数是通过get方法获得一个参数然后通过filter_var()函数进行过滤作为函数的返回值。 escape方法 其中escape方法的原理是用htmlspecialchars()实现的
filter_var_array() 函数
冷月醉雪的博客
03-04 239
查看更多 https://www.yuque.com/docs/share/98674e9d-47c1-4c44-927b-fb37a9a9d3ca
Python高级过滤器:掌握filter函数从入门到精通
子午的博客
08-01 1928
在Python中,filter()是一个非常有用的内置函数,它能够根据指定的函数来筛选出可迭代对象中满足条件的元素,返回一个迭代器。filter()函数的使用能够简化代码,并提高程序的可读性。本文将从入门到精通,全面介绍filter()函数的用法和相关知识点。本文详细介绍了filter()函数在Python中的用法,从基本的使用方法到进阶的应用,包括使用Lambda表达式、过滤多个可迭代对象、使用None作为判断函数等。filter()函数是Python中一个强大且灵活的工具,能够简化代码并提高开发效率。
php filter_var url
06-07
在上面的示例中,我们使用 filter_var 函数FILTER_VALIDATE_URL 过滤器验证 $url 是否是一个合法的 URL。如果 $url 是一个合法的 URL,将输出 "$url is a valid URL",否则将输出 "$url is not a valid URL"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值